Forum Programmation.php Sécuriser un formulaire

Posté par JEAN Lépine le 23 mai 2005 à 11:06.

Étiquettes : aucune

mai

2005

Bonjour,

Je viens de développer un très classique générateur de formulaires en php sur une base mysql ..... Ce générateur plait bcp et est donc de plus en plus utilisé ! Mais malheureusement je n'ai pas pensé aux petits crétins capables d'écrire du code dans les champs (je ne suis pas trop branché sécurité !) et certains des utilisateurs de mon générateur chrono-FORM me réclamment une routine de protection des champs !!!

Mon chrono-FORM est ici http://chrono.apinc.org/?numero=129(...)

Qqun connaît-il des routines de protextion toutes faites ?

Merci beaucup de votre aide.

# strip

Posté par kolter (site web personnel, Mastodon) le 23 mai 2005 à 11:54. Évalué à 2.

un bon début pourrait être d'appliquer "strip_tags" ( http://www.nexen.net/docs/php/annotee/function.strip-tags.php(...) ) dans tous les champs que tu recuperes des tes formulaires !!!

M.
- [^] # Re: strip
  
  Posté par Antonio Da Silva (site web personnel) le 23 mai 2005 à 13:44. Évalué à 2.
  
  Moi je dirais plutôt d'utiliser http://www.nexen.net/docs/php/annotee/function.mysql-real-escape-st(...)
  .
# Merci

Posté par JEAN Lépine le 23 mai 2005 à 12:35. Évalué à 1.

MERCI je vais voir ça tout de suite !!!!
# ereg

Posté par Nicolas Blanco (site web personnel) le 23 mai 2005 à 13:01. Évalué à 2.

Une bonne solution consiste simplement à tester tous les champs de ton formulaire par des ereg et à générer des messages d'erreurs si un/des champ ne respecte pas.

Ce que je fais généralement c'est que je stocke les champs d'un formulaire dans un tableau associatif où chaque clé est un champ du formulaire relié à un tableau définissant le champ (un booléan pour requis, une regex, etc...).
- [^] # Re: ereg
  
  Posté par R4f le 23 mai 2005 à 14:23. Évalué à 2.
  
  Il est également possible de développer (ça a déja dû être fait mille et une fois) une classe qui permet de «déclarer» tes champs de formulaires avec des types simples, genre :
  - n° téléphone France (10 chiffres)
  - adresse e-mail
  - adresse postale
  - adresse IP
  - URL Web
  - ...
  
  Et tu boucles sur les champs de ton formulaire en appelant la fonction de validation qui va bien.
  
  Exemple : PEAR HTML_Quickform http://www.thelinuxconsultancy.co.uk/quickform.php(...)
  
  Ca a l'air pas mal, avec tout plein de méthodes pour valider les entrées...
  - [^] # Re: ereg
    
    Posté par doublehp (site web personnel) le 23 mai 2005 à 15:33. Évalué à 0.
    
    un telephone doit etre compose d au moins 6 chiffres, peut etre des espaces, peut etre un plus, mais les chiffres doivent representer plus de 70% des characteres. Il ne peut pas contenire de \ ou /.
    
    un email doit avoir un @ et un point. Elle est compose d au moins 60% de lettres.
    
    Une adresse postale ne doit contenire que des letters (et peut etre des - pour les noms de ville/rue composes).
    
    Une IP ou URL ... c est pas tres dur a filtrer.
# Commentaire supprimé

Posté par Anonyme le 23 mai 2005 à 14:54. Évalué à 1.

Ce commentaire a été supprimé par l’équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.