Euh... « merci » c'est une constante définie par define("merci", ...) ? Si oui, il est d'usage de mettre les constantes en majuscules. Mais si comme je le suppose tu veux comparer avec la chaîne fixe « "merci" », c'est un bug dans ton code qui devrait générer une alerte de type E_NOTICE.
<span class="rouge"><br />Votre adresse a déjà été enregistrée.</span>
Le « class="rouge" », ce n'est pas une erreur de PHP, mais une mauvaise conception HTML : une classe devrait définir une sémantique, pas une apparence.
============================================================== > <?php if (isset($_GET['mail'])) { $verif = $wpdb->query("SELECT * FROM maildata WHERE adresse='".$_GET['mail']."'");
Euh... tu ne vérifies pas la valeur avant de passer une donnée utilisateur à une requête de base de donnée ? Tu as déjà entendu parler d'injection SQL ?
S'il te plaît, débranche *IMMÉDIATEMENT* ton site, il est probablement déjà utilisé par des spammeurs pour envoyer des pubs pour le Viagra à la terre entière !
Puis fais appel à un professionnel pour passer en revue tous tes scripts ou pour les réécrire. Il te résoudra au passage ton problème de « @ » qui ne passe pas.
Je suis sérieux. Merci de stopper le plus vite possible cette source de spam involontaire (de ta part).
Cordialement, -- Olivier Miakinen
Bonjour,
Le 21/01/2012 21:14, Eric Stern a écrit :
N'etant pas un developpeur chevroné, j'espere que vous excuserez la question
basique que je vais poser.
Oui, bien sûr.
le contexte: wordpress chez OHV.
Je ne connais pas wordpress, quant à OHV, dois-je supposer que c'est
OVH ?
le probleme:
le caractere @ est systematiquement suprimé de $_GET['mail']
si je rentre @@@@ par exemple, $_GET['mail'] est vide.
Ça ne se produit pas si tu renommes le paramètre en autre chose que
'mail' ?
je verrai bien un pb de secu mais je ne sais pas trop ou chercher.
Si ça marche avec $_GET['zorglub'] et pas avec $_GET['mail'], alors
c'est sûrement une protection à la con chez l'hébergeur.
Euh... « merci » c'est une constante définie par define("merci", ...) ?
Si oui, il est d'usage de mettre les constantes en majuscules. Mais si
comme je le suppose tu veux comparer avec la chaîne fixe « "merci" »,
c'est un bug dans ton code qui devrait générer une alerte de type
E_NOTICE.
<span class="rouge"><br />Votre adresse a déjà
été enregistrée.</span>
Le « class="rouge" », ce n'est pas une erreur de PHP, mais une mauvaise
conception HTML : une classe devrait définir une sémantique, pas une
apparence.
============================================================== >
<?php
if (isset($_GET['mail'])) {
$verif = $wpdb->query("SELECT * FROM maildata WHERE
adresse='".$_GET['mail']."'");
Euh... tu ne vérifies pas la valeur avant de passer une donnée
utilisateur à une requête de base de donnée ? Tu as déjà entendu
parler d'injection SQL ?
S'il te plaît, débranche *IMMÉDIATEMENT* ton site, il est probablement
déjà utilisé par des spammeurs pour envoyer des pubs pour le Viagra à
la terre entière !
Puis fais appel à un professionnel pour passer en revue tous tes scripts
ou pour les réécrire. Il te résoudra au passage ton problème de « @ »
qui ne passe pas.
Je suis sérieux. Merci de stopper le plus vite possible cette source de
spam involontaire (de ta part).
Euh... « merci » c'est une constante définie par define("merci", ...) ? Si oui, il est d'usage de mettre les constantes en majuscules. Mais si comme je le suppose tu veux comparer avec la chaîne fixe « "merci" », c'est un bug dans ton code qui devrait générer une alerte de type E_NOTICE.
<span class="rouge"><br />Votre adresse a déjà été enregistrée.</span>
Le « class="rouge" », ce n'est pas une erreur de PHP, mais une mauvaise conception HTML : une classe devrait définir une sémantique, pas une apparence.
============================================================== > <?php if (isset($_GET['mail'])) { $verif = $wpdb->query("SELECT * FROM maildata WHERE adresse='".$_GET['mail']."'");
Euh... tu ne vérifies pas la valeur avant de passer une donnée utilisateur à une requête de base de donnée ? Tu as déjà entendu parler d'injection SQL ?
S'il te plaît, débranche *IMMÉDIATEMENT* ton site, il est probablement déjà utilisé par des spammeurs pour envoyer des pubs pour le Viagra à la terre entière !
Puis fais appel à un professionnel pour passer en revue tous tes scripts ou pour les réécrire. Il te résoudra au passage ton problème de « @ » qui ne passe pas.
Je suis sérieux. Merci de stopper le plus vite possible cette source de spam involontaire (de ta part).
Cordialement, -- Olivier Miakinen
Eric Stern
Olivier Miakinen disait:
Bonjour
Ça ne se produit pas si tu renommes le paramètre en autre chose que 'mail' ?
je vais essayer.... comme c'est tombé en panne du jour au lendemain, je pense aussi à une protection quelconque.
Euh... « merci » c'est une constante définie par define("merci", ...) ? Si oui, il est d'usage de mettre les constantes en majuscules. Mais si comme je le suppose tu veux comparer avec la chaîne fixe « "merci" », c'est un bug dans ton code qui devrait générer une alerte de type E_NOTICE.
OK
<span class="rouge"><br />Votre adresse a déjà été enregistrée.</span>
Le « class="rouge" », ce n'est pas une erreur de PHP, mais une mauvaise conception HTML : une classe devrait définir une sémantique, pas une apparence.
OK
<?php if (isset($_GET['mail'])) { $verif = $wpdb->query("SELECT * FROM maildata WHERE adresse='".$_GET['mail']."'");
Euh... tu ne vérifies pas la valeur avant de passer une donnée utilisateur à une requête de base de donnée ? Tu as déjà entendu parler d'injection SQL ?
oui, j'ai supprimé la vérification pour être certain que ce n'était pas la cause pendant les tests. normallement, ya ça
if (isset($_GET['mail']) && preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i", $_GET['mail'])
est ce suffisant ?
ARRRRGHHH !!!
mail($TO2, $subject, $message, $h);
S'il te plaît, débranche *IMMÉDIATEMENT* ton site, il est probablement déjà utilisé par des spammeurs pour envoyer des pubs pour le Viagra à la terre entière !
Puis fais appel à un professionnel pour passer en revue tous tes scripts ou pour les réécrire. Il te résoudra au passage ton problème de « @ » qui ne passe pas.
Pas de panique, cette partie (l'envoi de courriel) n'y est plus depuis que ça ne marche plus... Evidemment,en relisant, je comprends le ARRRRGHHH !!! je suppose que votre grande crainte est que le vilain pas beau soit maître de $message ?
là ou le bât blesse,c'est que c'est un professionnel qui l'a écrit ......... mais à titre privé en bénévolat,s'agissant d'un site d'association.
mon seul boulot a été de tracer pourquoi ça ne marchait plus. en virant tout les tests, (celle dont vous parliez contre le SQL INJECTION et celle qui renvoie à merci),ça m'a permit de voir la disparition du @ dans la base.
Merci
Eric (mais vraiment pas développeur web,qu'un peu en C des fois le WK)
Olivier Miakinen disait:
Bonjour
Ça ne se produit pas si tu renommes le paramètre en autre chose que
'mail' ?
je vais essayer.... comme c'est tombé en panne du jour au lendemain, je
pense aussi à une protection quelconque.
Euh... « merci » c'est une constante définie par define("merci", ...) ?
Si oui, il est d'usage de mettre les constantes en majuscules. Mais si
comme je le suppose tu veux comparer avec la chaîne fixe « "merci" »,
c'est un bug dans ton code qui devrait générer une alerte de type
E_NOTICE.
OK
<span class="rouge"><br />Votre adresse a
déjà
été enregistrée.</span>
Le « class="rouge" », ce n'est pas une erreur de PHP, mais une mauvaise
conception HTML : une classe devrait définir une sémantique, pas une
apparence.
OK
<?php
if (isset($_GET['mail'])) {
$verif = $wpdb->query("SELECT * FROM maildata WHERE
adresse='".$_GET['mail']."'");
Euh... tu ne vérifies pas la valeur avant de passer une donnée
utilisateur à une requête de base de donnée ? Tu as déjà entendu
parler d'injection SQL ?
oui, j'ai supprimé la vérification pour être certain que ce n'était pas la
cause pendant les tests.
normallement, ya ça
if (isset($_GET['mail']) && preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i",
$_GET['mail'])
est ce suffisant ?
ARRRRGHHH !!!
mail($TO2, $subject, $message, $h);
S'il te plaît, débranche *IMMÉDIATEMENT* ton site, il est probablement
déjà utilisé par des spammeurs pour envoyer des pubs pour le Viagra à
la terre entière !
Puis fais appel à un professionnel pour passer en revue tous tes scripts
ou pour les réécrire. Il te résoudra au passage ton problème de « @ »
qui ne passe pas.
Pas de panique, cette partie (l'envoi de courriel) n'y est plus depuis que
ça ne marche plus...
Evidemment,en relisant, je comprends le ARRRRGHHH !!!
je suppose que votre grande crainte est que le vilain pas beau soit maître
de $message ?
là ou le bât blesse,c'est que c'est un professionnel qui l'a écrit .........
mais à titre privé en bénévolat,s'agissant d'un site d'association.
mon seul boulot a été de tracer pourquoi ça ne marchait plus.
en virant tout les tests, (celle dont vous parliez contre le SQL INJECTION
et celle qui renvoie à merci),ça m'a permit de voir la disparition du @ dans
la base.
Merci
Eric (mais vraiment pas développeur web,qu'un peu en C des fois le WK)
Euh... « merci » c'est une constante définie par define("merci", ...) ? Si oui, il est d'usage de mettre les constantes en majuscules. Mais si comme je le suppose tu veux comparer avec la chaîne fixe « "merci" », c'est un bug dans ton code qui devrait générer une alerte de type E_NOTICE.
OK
<span class="rouge"><br />Votre adresse a déjà été enregistrée.</span>
Le « class="rouge" », ce n'est pas une erreur de PHP, mais une mauvaise conception HTML : une classe devrait définir une sémantique, pas une apparence.
OK
<?php if (isset($_GET['mail'])) { $verif = $wpdb->query("SELECT * FROM maildata WHERE adresse='".$_GET['mail']."'");
Euh... tu ne vérifies pas la valeur avant de passer une donnée utilisateur à une requête de base de donnée ? Tu as déjà entendu parler d'injection SQL ?
oui, j'ai supprimé la vérification pour être certain que ce n'était pas la cause pendant les tests. normallement, ya ça
if (isset($_GET['mail']) && preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i", $_GET['mail'])
est ce suffisant ?
ARRRRGHHH !!!
mail($TO2, $subject, $message, $h);
S'il te plaît, débranche *IMMÉDIATEMENT* ton site, il est probablement déjà utilisé par des spammeurs pour envoyer des pubs pour le Viagra à la terre entière !
Puis fais appel à un professionnel pour passer en revue tous tes scripts ou pour les réécrire. Il te résoudra au passage ton problème de « @ » qui ne passe pas.
Pas de panique, cette partie (l'envoi de courriel) n'y est plus depuis que ça ne marche plus... Evidemment,en relisant, je comprends le ARRRRGHHH !!! je suppose que votre grande crainte est que le vilain pas beau soit maître de $message ?
là ou le bât blesse,c'est que c'est un professionnel qui l'a écrit ......... mais à titre privé en bénévolat,s'agissant d'un site d'association.
mon seul boulot a été de tracer pourquoi ça ne marchait plus. en virant tout les tests, (celle dont vous parliez contre le SQL INJECTION et celle qui renvoie à merci),ça m'a permit de voir la disparition du @ dans la base.
Merci
Eric (mais vraiment pas développeur web,qu'un peu en C des fois le WK)
Tonton Th
On 01/27/2012 01:11 PM, Eric Stern wrote:
if (isset($_GET['mail'])&& preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i", $_GET['mail'])
est ce suffisant ?
Et pour les adresses en .museum ça donne quoi ?
--
Nous vivons dans un monde étrange/ http://foo.bar.quux.over-blog.com/
On 01/27/2012 01:11 PM, Eric Stern wrote:
if (isset($_GET['mail'])&& preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i",
$_GET['mail'])
est ce suffisant ?
Et pour les adresses en .museum ça donne quoi ?
--
Nous vivons dans un monde étrange/
http://foo.bar.quux.over-blog.com/
if (isset($_GET['mail'])&& preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i", $_GET['mail'])
est ce suffisant ?
Et pour les adresses en .museum ça donne quoi ?
--
Nous vivons dans un monde étrange/ http://foo.bar.quux.over-blog.com/
Olivier Miakinen
Le 27/01/2012 13:11, Eric Stern a écrit :
Ça ne se produit pas si tu renommes le paramètre en autre chose que 'mail' ?
je vais essayer.... comme c'est tombé en panne du jour au lendemain, je pense aussi à une protection quelconque.
Ok. Je n'ai pas demandé, mais c'est bien $_GET['mail'] lui-même qui est vide, et pas le résultat d'un traitement fait sur cette valeur ?
[...] j'ai supprimé la vérification pour être certain que ce n'était pas la cause pendant les tests.
Ok.
normallement, ya ça
if (isset($_GET['mail']) && preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i", $_GET['mail'])
est ce suffisant ?
Là, pour le coup, c'est trop restrictif : cela interdit par exemple mon adresse om+ qui est valide. Voir la FAQ du forum à <http://faqfclphp.free.fr/#rub5.3> pour de meilleurs tests.
Par exemple le dernier : preg_match('/^[.A-Za-z0-9+_-]+@[.A-Za-z0-9-]+$/', $_GET['mail'])
ARRRRGHHH !!!
mail($TO2, $subject, $message, $h);
[...]
Pas de panique, cette partie (l'envoi de courriel) n'y est plus depuis que ça ne marche plus... Evidemment,en relisant, je comprends le ARRRRGHHH !!! je suppose que votre grande crainte est que le vilain pas beau soit maître de $message ?
Le vilain pas beau n'a pas besoin de maîtriser $message pour envoyer ce qu'il veut à qui il veut -- du moins c'était vrai dans certaines versions de la fonction mail(), mais je crois que les sauts de lignes sont maintenant filtrés.
Dans certaines versions de PHP, il suffisait de mettre dans $TO2 un truc du genre : ", , ..., Subject: mon joli spamn Content-Type: multipart/alternative; boundary=trucn n --truc Content-Type: text/htmln n Achetez mes jolis produits !n n --truc--n"
Avec ce seul paramètre, on peut choisir à la fois la liste des 1000 spammés, le sujet du spam, et son contenu.
mon seul boulot a été de tracer pourquoi ça ne marchait plus. en virant tout les tests, (celle dont vous parliez contre le SQL INJECTION et celle qui renvoie à merci), ça m'a permis de voir la disparition du @ dans la base.
Il vaudrait mieux faire un « echo $_GET['mail']; » et voir le code source du HTML généré (ou mieux, l'envoyer comme text/plain par un header() en début de script).
Cordialement, -- Olivier Miakinen
Le 27/01/2012 13:11, Eric Stern a écrit :
Ça ne se produit pas si tu renommes le paramètre en autre chose que
'mail' ?
je vais essayer.... comme c'est tombé en panne du jour au lendemain, je
pense aussi à une protection quelconque.
Ok. Je n'ai pas demandé, mais c'est bien $_GET['mail'] lui-même qui est
vide, et pas le résultat d'un traitement fait sur cette valeur ?
[...] j'ai supprimé la vérification pour être certain que ce n'était pas la
cause pendant les tests.
Ok.
normallement, ya ça
if (isset($_GET['mail']) && preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i",
$_GET['mail'])
est ce suffisant ?
Là, pour le coup, c'est trop restrictif : cela interdit par exemple
mon adresse om+news@miakinen.net qui est valide. Voir la FAQ du forum
à <http://faqfclphp.free.fr/#rub5.3> pour de meilleurs tests.
Par exemple le dernier :
preg_match('/^[.A-Za-z0-9+_-]+@[.A-Za-z0-9-]+$/', $_GET['mail'])
ARRRRGHHH !!!
mail($TO2, $subject, $message, $h);
[...]
Pas de panique, cette partie (l'envoi de courriel) n'y est plus depuis que
ça ne marche plus...
Evidemment,en relisant, je comprends le ARRRRGHHH !!!
je suppose que votre grande crainte est que le vilain pas beau soit maître
de $message ?
Le vilain pas beau n'a pas besoin de maîtriser $message pour envoyer
ce qu'il veut à qui il veut -- du moins c'était vrai dans certaines
versions de la fonction mail(), mais je crois que les sauts de lignes
sont maintenant filtrés.
Dans certaines versions de PHP, il suffisait de mettre dans $TO2 un truc
du genre :
"adr1@example.com, adr2@example.com, ..., adr1000@example.comn
Subject: mon joli spamn
Content-Type: multipart/alternative; boundary=trucn
n
--truc
Content-Type: text/htmln
n
Achetez mes jolis produits !n
n
--truc--n"
Avec ce seul paramètre, on peut choisir à la fois la liste des 1000
spammés, le sujet du spam, et son contenu.
mon seul boulot a été de tracer pourquoi ça ne marchait plus.
en virant tout les tests, (celle dont vous parliez contre le SQL INJECTION
et celle qui renvoie à merci), ça m'a permis de voir la disparition du @ dans
la base.
Il vaudrait mieux faire un « echo $_GET['mail']; » et voir le code
source du HTML généré (ou mieux, l'envoyer comme text/plain par un
header() en début de script).
Ça ne se produit pas si tu renommes le paramètre en autre chose que 'mail' ?
je vais essayer.... comme c'est tombé en panne du jour au lendemain, je pense aussi à une protection quelconque.
Ok. Je n'ai pas demandé, mais c'est bien $_GET['mail'] lui-même qui est vide, et pas le résultat d'un traitement fait sur cette valeur ?
[...] j'ai supprimé la vérification pour être certain que ce n'était pas la cause pendant les tests.
Ok.
normallement, ya ça
if (isset($_GET['mail']) && preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i", $_GET['mail'])
est ce suffisant ?
Là, pour le coup, c'est trop restrictif : cela interdit par exemple mon adresse om+ qui est valide. Voir la FAQ du forum à <http://faqfclphp.free.fr/#rub5.3> pour de meilleurs tests.
Par exemple le dernier : preg_match('/^[.A-Za-z0-9+_-]+@[.A-Za-z0-9-]+$/', $_GET['mail'])
ARRRRGHHH !!!
mail($TO2, $subject, $message, $h);
[...]
Pas de panique, cette partie (l'envoi de courriel) n'y est plus depuis que ça ne marche plus... Evidemment,en relisant, je comprends le ARRRRGHHH !!! je suppose que votre grande crainte est que le vilain pas beau soit maître de $message ?
Le vilain pas beau n'a pas besoin de maîtriser $message pour envoyer ce qu'il veut à qui il veut -- du moins c'était vrai dans certaines versions de la fonction mail(), mais je crois que les sauts de lignes sont maintenant filtrés.
Dans certaines versions de PHP, il suffisait de mettre dans $TO2 un truc du genre : ", , ..., Subject: mon joli spamn Content-Type: multipart/alternative; boundary=trucn n --truc Content-Type: text/htmln n Achetez mes jolis produits !n n --truc--n"
Avec ce seul paramètre, on peut choisir à la fois la liste des 1000 spammés, le sujet du spam, et son contenu.
mon seul boulot a été de tracer pourquoi ça ne marchait plus. en virant tout les tests, (celle dont vous parliez contre le SQL INJECTION et celle qui renvoie à merci), ça m'a permis de voir la disparition du @ dans la base.
Il vaudrait mieux faire un « echo $_GET['mail']; » et voir le code source du HTML généré (ou mieux, l'envoyer comme text/plain par un header() en début de script).
Cordialement, -- Olivier Miakinen
Eric Stern
"Tonton Th" a écrit dans le message de news: 4f22bd60$0$26323$
On 01/27/2012 01:11 PM, Eric Stern wrote:
if (isset($_GET['mail'])&& preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i", $_GET['mail'])
est ce suffisant ?
Et pour les adresses en .museum ça donne quoi ?
ben ca ne risque pas de marcher .... il faudrait un "@[w.-]+.[a-z]{2,6}$/i" je supose ?
Eric
"Tonton Th" <tth@la.bas.invalid> a écrit dans le message de news:
4f22bd60$0$26323$426a34cc@news.free.fr...
On 01/27/2012 01:11 PM, Eric Stern wrote:
if (isset($_GET['mail'])&&
preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i",
$_GET['mail'])
est ce suffisant ?
Et pour les adresses en .museum ça donne quoi ?
ben ca ne risque pas de marcher .... il faudrait un
"@[w.-]+.[a-z]{2,6}$/i" je supose ?
"Tonton Th" a écrit dans le message de news: 4f22bd60$0$26323$
On 01/27/2012 01:11 PM, Eric Stern wrote:
if (isset($_GET['mail'])&& preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i", $_GET['mail'])
est ce suffisant ?
Et pour les adresses en .museum ça donne quoi ?
ben ca ne risque pas de marcher .... il faudrait un "@[w.-]+.[a-z]{2,6}$/i" je supose ?
Eric
Eric Stern
"Olivier Miakinen" <om+ a écrit dans le message de news: jfugk5$1p7d$
Ok. Je n'ai pas demandé, mais c'est bien $_GET['mail'] lui-même qui est vide, et pas le résultat d'un traitement fait sur cette valeur ?
Le caractere @ est suprimé de $_GET['mail'],pas dans dans traitement suivant ie: devient xdv5coulommiers.org. j'en saurais plus ce weekend avec le test proposé de changer 'mail' par autre chose. et de faire la manip proposé a la fin.
[....] Par exemple le dernier : preg_match('/^[.A-Za-z0-9+_-]+@[.A-Za-z0-9-]+$/', $_GET['mail'])
Ok
[...]Le vilain pas beau n'a pas besoin de maîtriser $message >
C'est un métier ;) je pense qu'il vaut mieux limiter la longueur possible de la chaine ? le concepteur initial si je decode bien ce que ça fait a permis 150 caractéres ....
Il vaudrait mieux faire un « echo $_GET['mail']; » et voir le code source du HTML généré (ou mieux, l'envoyer comme text/plain par un header() en début de script).
Idée noté
Je reviens Dimanche avec le resultat de mes investigations
Merci pour le temps passé
Eric
"Olivier Miakinen" <om+news@miakinen.net> a écrit dans le message de news:
jfugk5$1p7d$1@cabale.usenet-fr.net...
Ok. Je n'ai pas demandé, mais c'est bien $_GET['mail'] lui-même qui est
vide, et pas le résultat d'un traitement fait sur cette valeur ?
Le caractere @ est suprimé de $_GET['mail'],pas dans dans traitement suivant
ie:
xdv5@coulommiers.org devient xdv5coulommiers.org.
j'en saurais plus ce weekend avec le test proposé de changer 'mail' par
autre chose. et de faire la manip proposé a la fin.
[....] Par exemple le dernier :
preg_match('/^[.A-Za-z0-9+_-]+@[.A-Za-z0-9-]+$/', $_GET['mail'])
Ok
[...]Le vilain pas beau n'a pas besoin de maîtriser $message >
C'est un métier ;) je pense qu'il vaut mieux limiter la longueur possible de
la chaine ?
le concepteur initial si je decode bien ce que ça fait a permis 150
caractéres ....
Il vaudrait mieux faire un « echo $_GET['mail']; » et voir le code
source du HTML généré (ou mieux, l'envoyer comme text/plain par un
header() en début de script).
Idée noté
Je reviens Dimanche avec le resultat de mes investigations
"Olivier Miakinen" <om+ a écrit dans le message de news: jfugk5$1p7d$
Ok. Je n'ai pas demandé, mais c'est bien $_GET['mail'] lui-même qui est vide, et pas le résultat d'un traitement fait sur cette valeur ?
Le caractere @ est suprimé de $_GET['mail'],pas dans dans traitement suivant ie: devient xdv5coulommiers.org. j'en saurais plus ce weekend avec le test proposé de changer 'mail' par autre chose. et de faire la manip proposé a la fin.
[....] Par exemple le dernier : preg_match('/^[.A-Za-z0-9+_-]+@[.A-Za-z0-9-]+$/', $_GET['mail'])
Ok
[...]Le vilain pas beau n'a pas besoin de maîtriser $message >
C'est un métier ;) je pense qu'il vaut mieux limiter la longueur possible de la chaine ? le concepteur initial si je decode bien ce que ça fait a permis 150 caractéres ....
Il vaudrait mieux faire un « echo $_GET['mail']; » et voir le code source du HTML généré (ou mieux, l'envoyer comme text/plain par un header() en début de script).
Idée noté
Je reviens Dimanche avec le resultat de mes investigations
Ne _jamais_ faire confiance au navigateur pour ce genre de limitation sur la taille maximale d'une chaine de caractères.
--
Nous vivons dans un monde étrange/ http://foo.bar.quux.over-blog.com/
Fred
Le 27/01/2012 16:41, Olivier Miakinen a écrit :
if (isset($_GET['mail'])&& preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i", $_GET['mail'])
est ce suffisant ?
Là, pour le coup, c'est trop restrictif : cela interdit par exemple mon adresse om+ qui est valide. Voir la FAQ du forum à<http://faqfclphp.free.fr/#rub5.3> pour de meilleurs tests.
Bonjour
Il y a maintenant des filtre adaptés depuis php 5.2
Toutefois, pour fonctionner aussi en réseau local, FILTER_VALIDATE_EMAIL autorise tout nom de domaine. Il faut l'associer à checkdnsrr pour verifie l'existance du domaine.
Par ailleurs, une faille à été détectée et corrigée avec la v 5.2.9
Fred
Le 27/01/2012 16:41, Olivier Miakinen a écrit :
if (isset($_GET['mail'])&& preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i",
$_GET['mail'])
est ce suffisant ?
Là, pour le coup, c'est trop restrictif : cela interdit par exemple
mon adresse om+news@miakinen.net qui est valide. Voir la FAQ du forum
à<http://faqfclphp.free.fr/#rub5.3> pour de meilleurs tests.
Bonjour
Il y a maintenant des filtre adaptés depuis php 5.2
Toutefois, pour fonctionner aussi en réseau local,
FILTER_VALIDATE_EMAIL autorise tout nom de domaine.
Il faut l'associer à checkdnsrr pour verifie l'existance du domaine.
Par ailleurs, une faille à été détectée et corrigée avec la v 5.2.9
if (isset($_GET['mail'])&& preg_match("/^[w.-]+@[w.-]+.[a-z]{2,3}$/i", $_GET['mail'])
est ce suffisant ?
Là, pour le coup, c'est trop restrictif : cela interdit par exemple mon adresse om+ qui est valide. Voir la FAQ du forum à<http://faqfclphp.free.fr/#rub5.3> pour de meilleurs tests.
Bonjour
Il y a maintenant des filtre adaptés depuis php 5.2
Toutefois, pour fonctionner aussi en réseau local, FILTER_VALIDATE_EMAIL autorise tout nom de domaine. Il faut l'associer à checkdnsrr pour verifie l'existance du domaine.
Par ailleurs, une faille à été détectée et corrigée avec la v 5.2.9
