Oui je n'en doute pas, mais il n'est pas terminé donc je ne vois pas
l'intéret de distribuer le code...
Mon sytème de note je dois le refaire en partie, j'ai mal géré le "sans
note" et j'enregistre le "-" dans la BDD, ce qui fait que je ne pouvais
utiliser une champs INT, je n'ai vu qu'après mon erreur ( Idiote en plus
), puis comme j'étais sur autre chose je ne l'ai pas corrigée... Et pour
finir j'ai oublié d'y revenir :-(
Chaque requête Mysql passe par cette fonction :
function quote_smart( $value ) {
if ( get_magic_quotes_gpc() ) {
$value = stripslashes( $value );
}
if ( !is_numeric( $value ) ) {
$value = mysql_real_escape_string( $value );
}
return $value;
}
SELECT... AND numero = 2 OR 1=1
L'antiflood c'est comme la majeure partie des lois de ce pays, et
comme 99,99% des protections antipiratage : elles se contournent en 5
minutes par quelqu'un qui veut le faire et elles ne font **donc
exclusivement qu'emmerder l'honnête citoyen**.
Quand on connait les divers test à effectuer c'est vrai que l'on a pas
besoin de 10 minutes entre chaque ;-)
Affirmation gratuite. Même si 50 contributeurs de ce forum se mettent
à stresser ton appli, ça va pas casser trois pattes à un pingouin en
nombre de requêtes/seconde hein...
oui sans doute
Comment puis je diffuser quelque chose qui n'ets pas termminé ?!? ( Je
ne suis pas Microsoft moi ;-) )
Oui je n'en doute pas, mais il n'est pas terminé donc je ne vois pas
l'intéret de distribuer le code...
Mon sytème de note je dois le refaire en partie, j'ai mal géré le "sans
note" et j'enregistre le "-" dans la BDD, ce qui fait que je ne pouvais
utiliser une champs INT, je n'ai vu qu'après mon erreur ( Idiote en plus
), puis comme j'étais sur autre chose je ne l'ai pas corrigée... Et pour
finir j'ai oublié d'y revenir :-(
Chaque requête Mysql passe par cette fonction :
function quote_smart( $value ) {
if ( get_magic_quotes_gpc() ) {
$value = stripslashes( $value );
}
if ( !is_numeric( $value ) ) {
$value = mysql_real_escape_string( $value );
}
return $value;
}
SELECT... AND numero = 2 OR 1=1
L'antiflood c'est comme la majeure partie des lois de ce pays, et
comme 99,99% des protections antipiratage : elles se contournent en 5
minutes par quelqu'un qui veut le faire et elles ne font **donc
exclusivement qu'emmerder l'honnête citoyen**.
Quand on connait les divers test à effectuer c'est vrai que l'on a pas
besoin de 10 minutes entre chaque ;-)
Affirmation gratuite. Même si 50 contributeurs de ce forum se mettent
à stresser ton appli, ça va pas casser trois pattes à un pingouin en
nombre de requêtes/seconde hein...
oui sans doute
Comment puis je diffuser quelque chose qui n'ets pas termminé ?!? ( Je
ne suis pas Microsoft moi ;-) )
Oui je n'en doute pas, mais il n'est pas terminé donc je ne vois pas
l'intéret de distribuer le code...
Mon sytème de note je dois le refaire en partie, j'ai mal géré le "sans
note" et j'enregistre le "-" dans la BDD, ce qui fait que je ne pouvais
utiliser une champs INT, je n'ai vu qu'après mon erreur ( Idiote en plus
), puis comme j'étais sur autre chose je ne l'ai pas corrigée... Et pour
finir j'ai oublié d'y revenir :-(
Chaque requête Mysql passe par cette fonction :
function quote_smart( $value ) {
if ( get_magic_quotes_gpc() ) {
$value = stripslashes( $value );
}
if ( !is_numeric( $value ) ) {
$value = mysql_real_escape_string( $value );
}
return $value;
}
SELECT... AND numero = 2 OR 1=1
L'antiflood c'est comme la majeure partie des lois de ce pays, et
comme 99,99% des protections antipiratage : elles se contournent en 5
minutes par quelqu'un qui veut le faire et elles ne font **donc
exclusivement qu'emmerder l'honnête citoyen**.
Quand on connait les divers test à effectuer c'est vrai que l'on a pas
besoin de 10 minutes entre chaque ;-)
Affirmation gratuite. Même si 50 contributeurs de ce forum se mettent
à stresser ton appli, ça va pas casser trois pattes à un pingouin en
nombre de requêtes/seconde hein...
oui sans doute
Comment puis je diffuser quelque chose qui n'ets pas termminé ?!? ( Je
ne suis pas Microsoft moi ;-) )
Pourriez-vous arréter ce troll s'il vous plait !
Auquel tu viens de contribuer.
Vous me semblez quelqu'un qui ne réagit pas du tout "open source".
Et alors ? Est-ce une obligation pour avoir le droit de poster ici ? Non.
Pourriez-vous arréter ce troll s'il vous plait !
Auquel tu viens de contribuer.
Vous me semblez quelqu'un qui ne réagit pas du tout "open source".
Et alors ? Est-ce une obligation pour avoir le droit de poster ici ? Non.
Pourriez-vous arréter ce troll s'il vous plait !
Auquel tu viens de contribuer.
Vous me semblez quelqu'un qui ne réagit pas du tout "open source".
Et alors ? Est-ce une obligation pour avoir le droit de poster ici ? Non.
Bonjour à tous,
je développe actuellement un script de Livre d'or nommé EXlor, pour
vérifier la compatibilité avec les hébergeur et vérifier qu'il n'y a pas
de BUG ou d'erreurs, et pour avoir l'opinion des utilisateurs pour
amiolérer certaines parties de l'administration, je lancerais une Beta
Test à la fin du mois de Juin du script.
Bonjour à tous,
je développe actuellement un script de Livre d'or nommé EXlor, pour
vérifier la compatibilité avec les hébergeur et vérifier qu'il n'y a pas
de BUG ou d'erreurs, et pour avoir l'opinion des utilisateurs pour
amiolérer certaines parties de l'administration, je lancerais une Beta
Test à la fin du mois de Juin du script.
Bonjour à tous,
je développe actuellement un script de Livre d'or nommé EXlor, pour
vérifier la compatibilité avec les hébergeur et vérifier qu'il n'y a pas
de BUG ou d'erreurs, et pour avoir l'opinion des utilisateurs pour
amiolérer certaines parties de l'administration, je lancerais une Beta
Test à la fin du mois de Juin du script.
Encore une fois je trouve que tu prends le probleme du mauvais coté : la
lecture du code n'est qu'un moyen de détecter les bugs. Ca ne change pas le
fait qu'il faille revérifier ou non apres que tu aies fait des modifs.
Encore une fois je trouve que tu prends le probleme du mauvais coté : la
lecture du code n'est qu'un moyen de détecter les bugs. Ca ne change pas le
fait qu'il faille revérifier ou non apres que tu aies fait des modifs.
Encore une fois je trouve que tu prends le probleme du mauvais coté : la
lecture du code n'est qu'un moyen de détecter les bugs. Ca ne change pas le
fait qu'il faille revérifier ou non apres que tu aies fait des modifs.
Re,Mon sytème de note je dois le refaire en partie, j'ai mal géré le "sans
note"
Donnée inconnue => NULL.
function quote_smart( $value ) {
if ( get_magic_quotes_gpc() ) {
$value = stripslashes( $value );
}
Pourquoi défaire le boulot déjà fait pour refaire la même chose ?if ( !is_numeric( $value ) ) {
$value = mysql_real_escape_string( $value );
}
Est-ce qu'on y gagne vraiment quelque chose entre le temps pour déterminer
si la chaîne est numérique et le temps pour ne rien faire, je n'en sais
rien...
Le besoin algorithmique, c'est : si les ' ne sont pas échappées
correctement, le faire, donc :
if(get_magic_quotes_gpc()) return $value;
return mysql_real_escape_string( $value );
// ou return addslashes($value);
Et j'ai cru lire que cela suffisait contre les attaques Mysql, je ne me
suis peut être pas assez renseigné...
Non en effet, il y a aussi les attaques par les entiers. Tout dépend de
ton schéma de SGBDR. Je finalise un papier là dessus.
Tu as un exemple de code qui passe au travers de strip_tags ?
Bah tout ce qui est code javascript, et tout ce qui est javascript
intégré dans du code html, cad :
javascript:|onclick|ondblclick|onmousedown|onmouseup|
onmouseover|onmousemove|onmouseout|onkeypress|onkeydown|onkeyup
Bah oui mais non : mais encore faut-il les appeler. Tous ces machins là ne
sont appelables quand dans un tag valide (pas seulement <script> on est
bien d'accord, IMG, TABLE, BODY, OBJECT, j'en passe et des meilleures).
En revanche si tu autorises certains tags en deuxième argument de
strip_tags, il faut tester et voir si ça traverse ou pas.
C'est ce que j'ai pu lire ici et là, que Strip_tags n'empéchait pas tout...
Moi je suis plutôt approche Saint Thomas, je veux un contre exemple, pas
des "on dit". Je vais finir par aller lire le code source de strip_tags,
ça ira plus vite je sens...
JG
Re,
Mon sytème de note je dois le refaire en partie, j'ai mal géré le "sans
note"
Donnée inconnue => NULL.
function quote_smart( $value ) {
if ( get_magic_quotes_gpc() ) {
$value = stripslashes( $value );
}
Pourquoi défaire le boulot déjà fait pour refaire la même chose ?
if ( !is_numeric( $value ) ) {
$value = mysql_real_escape_string( $value );
}
Est-ce qu'on y gagne vraiment quelque chose entre le temps pour déterminer
si la chaîne est numérique et le temps pour ne rien faire, je n'en sais
rien...
Le besoin algorithmique, c'est : si les ' ne sont pas échappées
correctement, le faire, donc :
if(get_magic_quotes_gpc()) return $value;
return mysql_real_escape_string( $value );
// ou return addslashes($value);
Et j'ai cru lire que cela suffisait contre les attaques Mysql, je ne me
suis peut être pas assez renseigné...
Non en effet, il y a aussi les attaques par les entiers. Tout dépend de
ton schéma de SGBDR. Je finalise un papier là dessus.
Tu as un exemple de code qui passe au travers de strip_tags ?
Bah tout ce qui est code javascript, et tout ce qui est javascript
intégré dans du code html, cad :
javascript:|onclick|ondblclick|onmousedown|onmouseup|
onmouseover|onmousemove|onmouseout|onkeypress|onkeydown|onkeyup
Bah oui mais non : mais encore faut-il les appeler. Tous ces machins là ne
sont appelables quand dans un tag valide (pas seulement <script> on est
bien d'accord, IMG, TABLE, BODY, OBJECT, j'en passe et des meilleures).
En revanche si tu autorises certains tags en deuxième argument de
strip_tags, il faut tester et voir si ça traverse ou pas.
C'est ce que j'ai pu lire ici et là, que Strip_tags n'empéchait pas tout...
Moi je suis plutôt approche Saint Thomas, je veux un contre exemple, pas
des "on dit". Je vais finir par aller lire le code source de strip_tags,
ça ira plus vite je sens...
JG
Re,Mon sytème de note je dois le refaire en partie, j'ai mal géré le "sans
note"
Donnée inconnue => NULL.
function quote_smart( $value ) {
if ( get_magic_quotes_gpc() ) {
$value = stripslashes( $value );
}
Pourquoi défaire le boulot déjà fait pour refaire la même chose ?if ( !is_numeric( $value ) ) {
$value = mysql_real_escape_string( $value );
}
Est-ce qu'on y gagne vraiment quelque chose entre le temps pour déterminer
si la chaîne est numérique et le temps pour ne rien faire, je n'en sais
rien...
Le besoin algorithmique, c'est : si les ' ne sont pas échappées
correctement, le faire, donc :
if(get_magic_quotes_gpc()) return $value;
return mysql_real_escape_string( $value );
// ou return addslashes($value);
Et j'ai cru lire que cela suffisait contre les attaques Mysql, je ne me
suis peut être pas assez renseigné...
Non en effet, il y a aussi les attaques par les entiers. Tout dépend de
ton schéma de SGBDR. Je finalise un papier là dessus.
Tu as un exemple de code qui passe au travers de strip_tags ?
Bah tout ce qui est code javascript, et tout ce qui est javascript
intégré dans du code html, cad :
javascript:|onclick|ondblclick|onmousedown|onmouseup|
onmouseover|onmousemove|onmouseout|onkeypress|onkeydown|onkeyup
Bah oui mais non : mais encore faut-il les appeler. Tous ces machins là ne
sont appelables quand dans un tag valide (pas seulement <script> on est
bien d'accord, IMG, TABLE, BODY, OBJECT, j'en passe et des meilleures).
En revanche si tu autorises certains tags en deuxième argument de
strip_tags, il faut tester et voir si ça traverse ou pas.
C'est ce que j'ai pu lire ici et là, que Strip_tags n'empéchait pas tout...
Moi je suis plutôt approche Saint Thomas, je veux un contre exemple, pas
des "on dit". Je vais finir par aller lire le code source de strip_tags,
ça ira plus vite je sens...
JG
Code html ignoble, bon d'accord :
http://validator.w3.org/check?uri=http%3A%2F%2Fexinsidephp.free.fr%2Fbeta_exlor%2F&charset=%28detect+automatically%29&doctype=%28detect+automatically%29
Résultat : Code valide
C'est bon, c'est réparé... C'est à nouveau pas valide... :'P
Code html ignoble, bon d'accord :
http://validator.w3.org/check?uri=http%3A%2F%2Fexinsidephp.free.fr%2Fbeta_exlor%2F&charset=%28detect+automatically%29&doctype=%28detect+automatically%29
Résultat : Code valide
C'est bon, c'est réparé... C'est à nouveau pas valide... :'P
Code html ignoble, bon d'accord :
http://validator.w3.org/check?uri=http%3A%2F%2Fexinsidephp.free.fr%2Fbeta_exlor%2F&charset=%28detect+automatically%29&doctype=%28detect+automatically%29
Résultat : Code valide
C'est bon, c'est réparé... C'est à nouveau pas valide... :'P
Pourriez-vous arréter ce troll s'il vous plait !
Vous me semblez quelqu'un qui ne réagit pas du tout "open source".
Vous me donnez l'impression de vouloir les avantages (la force de
travail) de l'open-source sans l'inconvénient de perdre le pouvoir.
Ne pas diffuser les sources avant un hypothétique fini me semble idiot
et contre productif. Qui connait un code terminé ;) pourquoi y a-t-il
tant de version 2, 3 voire 10 ;)
Ce peut-être faire deux fois le travail que d'avoir les erreurs
importante le plus tôt possible : c'est tout refaire que de se rendre
compte des bourdes de conception à la fin.
Traduisez Open-Source en français, pour voir si nous avons la même
définition. Votre "vaporware" ne rime à rien tant que, dans l'esprit
Open-Source, vous ne mettrez pas du concret dans votre annonce : c'est
du propriétaire, ni plus ni moins.
Cordialement Démosthène
Pourriez-vous arréter ce troll s'il vous plait !
Vous me semblez quelqu'un qui ne réagit pas du tout "open source".
Vous me donnez l'impression de vouloir les avantages (la force de
travail) de l'open-source sans l'inconvénient de perdre le pouvoir.
Ne pas diffuser les sources avant un hypothétique fini me semble idiot
et contre productif. Qui connait un code terminé ;) pourquoi y a-t-il
tant de version 2, 3 voire 10 ;)
Ce peut-être faire deux fois le travail que d'avoir les erreurs
importante le plus tôt possible : c'est tout refaire que de se rendre
compte des bourdes de conception à la fin.
Traduisez Open-Source en français, pour voir si nous avons la même
définition. Votre "vaporware" ne rime à rien tant que, dans l'esprit
Open-Source, vous ne mettrez pas du concret dans votre annonce : c'est
du propriétaire, ni plus ni moins.
Cordialement Démosthène
Pourriez-vous arréter ce troll s'il vous plait !
Vous me semblez quelqu'un qui ne réagit pas du tout "open source".
Vous me donnez l'impression de vouloir les avantages (la force de
travail) de l'open-source sans l'inconvénient de perdre le pouvoir.
Ne pas diffuser les sources avant un hypothétique fini me semble idiot
et contre productif. Qui connait un code terminé ;) pourquoi y a-t-il
tant de version 2, 3 voire 10 ;)
Ce peut-être faire deux fois le travail que d'avoir les erreurs
importante le plus tôt possible : c'est tout refaire que de se rendre
compte des bourdes de conception à la fin.
Traduisez Open-Source en français, pour voir si nous avons la même
définition. Votre "vaporware" ne rime à rien tant que, dans l'esprit
Open-Source, vous ne mettrez pas du concret dans votre annonce : c'est
du propriétaire, ni plus ni moins.
Cordialement Démosthène
Je crois pas y avoir trouvé une liste des défaut des autres livres d'or qui
n'apparaissent pas dans ton script. En fait je serais incapable de dire moi
même quels sont leur défaut parceque je me suis pas vraiment penché sur les
scripts de livre d'or qui existent. Mais ca ferait assez vendeur de dire
"mon script est mieux que tel autre sur ce point parcequ'il permet de faire
ca et ca en plus"... Ou même "même si ce n'est pas encore implémenté, mon
but est de permettre de faire ca, chose que les autres scripts ne permettent
pas"
Si tu veux qu'on te donne les erreurs de codage que t'as faites, ca
serait quand même mieux que tu nous montre le code.
Quel est l'utilité de montrer un code qui n'est pas terminé ?!?
Et bien ca permet de voir les erreurs de codage que t'as faites ?
Je comprends pas ton raisonnement : tu veux pas donner le code parceque
sinon on trouverait les failles.
Je n'ai jamais dit cela, je voudrais d'ailleurs que l'on trouve des
failles que je n'ai pas vu ! La question n'est pas là, je ne vois
absolument pas l'intêret de vérifier un code que je n'ai pas terminé...
Oui, je crois que j'ai lu un truc un peu vite... en fait ce que tu ne
voulais pas pour éviter les abus, c'était enlever l'antiflood, pas montrer
le code.
L'interet de vérifier un code (même non terminé) c'est que ca va vachement
plus vite d'y detecter des failles. Tu fais des preg_replace pour éviter les
injections javascript. Déjà moi je vois pas comment on peut en faire (en
fait je sais pas tres bien quelle partie gere la transformation texte =>
html). Ensuite si je veux tester, ca irait 'achement plus vite de voir les
regexp et de me dire "tient, ce cas là a pas l'air d'être géré" plutot que
de tester toutes les combinations auquelles je peux penser.
Je crois pas y avoir trouvé une liste des défaut des autres livres d'or qui
n'apparaissent pas dans ton script. En fait je serais incapable de dire moi
même quels sont leur défaut parceque je me suis pas vraiment penché sur les
scripts de livre d'or qui existent. Mais ca ferait assez vendeur de dire
"mon script est mieux que tel autre sur ce point parcequ'il permet de faire
ca et ca en plus"... Ou même "même si ce n'est pas encore implémenté, mon
but est de permettre de faire ca, chose que les autres scripts ne permettent
pas"
Si tu veux qu'on te donne les erreurs de codage que t'as faites, ca
serait quand même mieux que tu nous montre le code.
Quel est l'utilité de montrer un code qui n'est pas terminé ?!?
Et bien ca permet de voir les erreurs de codage que t'as faites ?
Je comprends pas ton raisonnement : tu veux pas donner le code parceque
sinon on trouverait les failles.
Je n'ai jamais dit cela, je voudrais d'ailleurs que l'on trouve des
failles que je n'ai pas vu ! La question n'est pas là, je ne vois
absolument pas l'intêret de vérifier un code que je n'ai pas terminé...
Oui, je crois que j'ai lu un truc un peu vite... en fait ce que tu ne
voulais pas pour éviter les abus, c'était enlever l'antiflood, pas montrer
le code.
L'interet de vérifier un code (même non terminé) c'est que ca va vachement
plus vite d'y detecter des failles. Tu fais des preg_replace pour éviter les
injections javascript. Déjà moi je vois pas comment on peut en faire (en
fait je sais pas tres bien quelle partie gere la transformation texte =>
html). Ensuite si je veux tester, ca irait 'achement plus vite de voir les
regexp et de me dire "tient, ce cas là a pas l'air d'être géré" plutot que
de tester toutes les combinations auquelles je peux penser.
Je crois pas y avoir trouvé une liste des défaut des autres livres d'or qui
n'apparaissent pas dans ton script. En fait je serais incapable de dire moi
même quels sont leur défaut parceque je me suis pas vraiment penché sur les
scripts de livre d'or qui existent. Mais ca ferait assez vendeur de dire
"mon script est mieux que tel autre sur ce point parcequ'il permet de faire
ca et ca en plus"... Ou même "même si ce n'est pas encore implémenté, mon
but est de permettre de faire ca, chose que les autres scripts ne permettent
pas"
Si tu veux qu'on te donne les erreurs de codage que t'as faites, ca
serait quand même mieux que tu nous montre le code.
Quel est l'utilité de montrer un code qui n'est pas terminé ?!?
Et bien ca permet de voir les erreurs de codage que t'as faites ?
Je comprends pas ton raisonnement : tu veux pas donner le code parceque
sinon on trouverait les failles.
Je n'ai jamais dit cela, je voudrais d'ailleurs que l'on trouve des
failles que je n'ai pas vu ! La question n'est pas là, je ne vois
absolument pas l'intêret de vérifier un code que je n'ai pas terminé...
Oui, je crois que j'ai lu un truc un peu vite... en fait ce que tu ne
voulais pas pour éviter les abus, c'était enlever l'antiflood, pas montrer
le code.
L'interet de vérifier un code (même non terminé) c'est que ca va vachement
plus vite d'y detecter des failles. Tu fais des preg_replace pour éviter les
injections javascript. Déjà moi je vois pas comment on peut en faire (en
fait je sais pas tres bien quelle partie gere la transformation texte =>
html). Ensuite si je veux tester, ca irait 'achement plus vite de voir les
regexp et de me dire "tient, ce cas là a pas l'air d'être géré" plutot que
de tester toutes les combinations auquelles je peux penser.
A mon avis, pour éviter tout ce débat un peut tendu, il aurait suffit de
venir présenter ton travail lorsqu'il aurait été terminé, ou du moins
suffisament pour être communiqué.
Je trouve ton idée de départ bonne, mais les arguments de tes détracteurs
aussi. Tu étais sans doute trop presser pour communiquer sur ton travail.
A mon avis, pour éviter tout ce débat un peut tendu, il aurait suffit de
venir présenter ton travail lorsqu'il aurait été terminé, ou du moins
suffisament pour être communiqué.
Je trouve ton idée de départ bonne, mais les arguments de tes détracteurs
aussi. Tu étais sans doute trop presser pour communiquer sur ton travail.
A mon avis, pour éviter tout ce débat un peut tendu, il aurait suffit de
venir présenter ton travail lorsqu'il aurait été terminé, ou du moins
suffisament pour être communiqué.
Je trouve ton idée de départ bonne, mais les arguments de tes détracteurs
aussi. Tu étais sans doute trop presser pour communiquer sur ton travail.
Mon sytème de note je dois le refaire en partie, j'ai mal géré le "sans
note"
Donnée inconnue => NULL.
Oui je sais, j'allais justement me repporté la dessus, donc vous voyez, si
je vous montre mon code actuel avec les choses que je sais qu'il faut que
je change, ça va venir à ça :
-> tu dois faire ça
-> J'ai déjà prévu de le faire
Résultat vous avez perdu du temps, et je n'aime pas faire perdre du temps
aux gens qui peuvent m'aider.
JG
Mon sytème de note je dois le refaire en partie, j'ai mal géré le "sans
note"
Donnée inconnue => NULL.
Oui je sais, j'allais justement me repporté la dessus, donc vous voyez, si
je vous montre mon code actuel avec les choses que je sais qu'il faut que
je change, ça va venir à ça :
-> tu dois faire ça
-> J'ai déjà prévu de le faire
Résultat vous avez perdu du temps, et je n'aime pas faire perdre du temps
aux gens qui peuvent m'aider.
JG
Mon sytème de note je dois le refaire en partie, j'ai mal géré le "sans
note"
Donnée inconnue => NULL.
Oui je sais, j'allais justement me repporté la dessus, donc vous voyez, si
je vous montre mon code actuel avec les choses que je sais qu'il faut que
je change, ça va venir à ça :
-> tu dois faire ça
-> J'ai déjà prévu de le faire
Résultat vous avez perdu du temps, et je n'aime pas faire perdre du temps
aux gens qui peuvent m'aider.
JG
