Php dans formulaire

Résolu/Fermé
powpowland
Messages postés
395
Date d'inscription
lundi 3 mars 2008
Statut
Membre
Dernière intervention
2 mars 2022
- 4 mai 2010 à 16:30
powpowland
Messages postés
395
Date d'inscription
lundi 3 mars 2008
Statut
Membre
Dernière intervention
2 mars 2022
- 4 mai 2010 à 18:48
bonjour,
je prépare un site internet et je me suis rendu compte que je pouvais insérer du php dans un formulaire qui enregistre dans une bande de données et j'ai remarqué qu'il s'exécutait ensuite quand j'exploite la base de données...

comment peut-on faire pour bloqué le php ?

j'ai bien essayé ça mais ça ne marche pas :
$desc = preg_replace('#\?php#', '', $desc);


j'ai essayé avec des \ et sans \ devant ?php mais
sa me met une erreur :
Warning: preg_replace() [function.preg-replace]: Compilation failed: nothing to repeat at offset 0 in...

4 réponses

Groarh
Messages postés
682
Date d'inscription
vendredi 1 août 2008
Statut
Membre
Dernière intervention
28 juin 2015
185
4 mai 2010 à 17:15
Salut,
c'est une bonne remarque que tu t'es faite là ;) Il s'agit d'un des nombreux problèmes de sécurité liés aux formulaires.

C'est ce qu'on appelle une injection de code. L'utilisateur malveillant peut, par exemple, insérer du JavaScript ou du code HTML imprévu, ou du code PHP dans ton cas. Attention également aux injections SQL.

Pour être rigoureux, il faudrait que tu adoptes une « stratégie » d'utilisation de ta base de données, que tu la notes quelque part et que tu la respectes pour tous les scripts qui utilisent ta base. Par exemple, décider que toutes les données doivent être nettoyées avant d'être insérées.

La fonction strip_tags (https://www.php.net/manual/fr/function.strip-tags.php ) est là pour te simplifier la vie : elle retire tout ce qui peut être dangereux, et tu peux choisir de garder certains éléments. Si tu n'es pas à l'aise avec la documentation de Php.net, n'hésite pas à me poser des questions, ce site est une mine d'or quand on sait s'en servir.

En ce qui concerne ton erreur avec preg_replace, c'est normal (https://www.php.net/manual/fr/function.preg-replace.php ) : cette fonction cherche à interpréter le code PHP contenu dans ton $desc, et il doit y avoir des erreurs dedans (genre il n'aime pas quand la balise ?php est vide).

J'espère t'avoir aidé ;)
0
powpowland
Messages postés
395
Date d'inscription
lundi 3 mars 2008
Statut
Membre
Dernière intervention
2 mars 2022
20
4 mai 2010 à 17:19
ok merci j'essayerai ça...

par contre pour le preg_replace, quand je met juste 'php' au lieu de '?php' ça marche... donc je sais pas...
0
Groarh
Messages postés
682
Date d'inscription
vendredi 1 août 2008
Statut
Membre
Dernière intervention
28 juin 2015
185
4 mai 2010 à 17:38
Ah oui je sais : c'est parce que dans une expression régulière il faut échapper les slashes avec un deuxième slash.

$desc = preg_replace('#\\?php#', '', $desc);
D'où le message « nothing to repeat » : le point d'interrogation n'était pas échappé en fait...
0
powpowland
Messages postés
395
Date d'inscription
lundi 3 mars 2008
Statut
Membre
Dernière intervention
2 mars 2022
20
4 mai 2010 à 18:48
c'est le \\ marche... nickel merci
0