isset

Olivier Masson <sisemen@laposte.net> écrivait :

Chez certains hébergeurs, à partir d'un certain nombre d'erreurs ou
warning masqués par @, il y a blocage du ou des scripts litigieux.
C'est ce qui se passe chez Free.

C'est-à-dire ? Ce n'est pas le blocage qui m'intéresse (j'utilise peu le
@ et pas free) mais la façon dont c'est détecté : ils parsent les
scripts ou c'est php qui peut renvoyer en silent les erreurs ignorées
par le @ ?

Je ne sais pas comment le filtrage est effectué ; il faudrait demander à
l'administrateur des pages persos.

Trente « warnings » dans le même script donne une erreur fatale et le
blocage du script. Ceci pour éviter des charges trop fortes pour de
l'hébergement mutualisé.
--
Il vaut mieux ignorer où l'on est, et savoir qu'on l'ignore, que de se
croire avec confiance où l'on n'est pas. Jean Dominique Cassini.
Technologie aéronautique - http://ottello.net - Les anciens de Vilgénis

Mickael Wolff wrote:

finalement le seul controle indispensable d'un formulaire c'est de
vérifier qu'il soit pas envoyé vide et de verifier que les élements
saisie soit cohérant avec ce qui est demandé.
Avant de savoir s'il est vide, il faut savoir s'il existe, et s'il est

justement est ce que si une variable esst vide est ce qu'elle existe dans la
cas ou l'internaute validerait un post vide.

nécessaire de traiter l'absence, voir de générer une erreur. Parce que
si tu tente d'accéder à un élément d'un tableau qui n'existe pas, tu
dois avoir un Warning (sur ta machine de développement).

Ça évite aussi d'user d'une expression régulière alors qu'il n'y a pas
besoin ;)

finalement le seul controle indispensable d'un formulaire c'est de
vérifier qu'il soit pas envoyé vide et de verifier que les élements
saisie soit cohérant avec ce qui est demandé.
Avant de savoir s'il est vide, il faut savoir s'il existe, et s'il est

justement est ce que si une variable esst vide est ce qu'elle existe dans la
cas ou l'internaute validerait un post vide.

Je viens de me torturer l'esprit pendant 5 bonnes minutes en essayant de
comprendre ta phrase, mais je n'y arrive pas. Dans le doute, je vais
répondre quelque chose en espérant que ce sera la réponse à ta question.

1) La première chose à faire est de vérifier par isset si le tableau
$_REQUEST contient bien une entrée du nom qui t'intéresse.

2) Si le premier résultat est positif, la seconde chose à faire *peut*
être de regarder si la valeur est une chaîne vide, mais ce n'est pas
forcément obligatoire. Vérifier directement que la valeur est bien
de la forme que tu attends peut suffire (par exemple, pour un entier
positif, vérifier qu'elle contient un chiffre ou plus et aucun autre
caractère).


P.-S. : Ton adresse n'est toujours pas conforme aux recommandations pour
les adresses invalides. Ça t'ennuie de mettre le .invalid à la fin ?

Olivier Miakinen wrote:

finalement le seul controle indispensable d'un formulaire c'est de
vérifier qu'il soit pas envoyé vide et de verifier que les élements
saisie soit cohérant avec ce qui est demandé.
Avant de savoir s'il est vide, il faut savoir s'il existe, et s'il est

justement est ce que si une variable esst vide est ce qu'elle existe dans
la cas ou l'internaute validerait un post vide.

Je viens de me torturer l'esprit pendant 5 bonnes minutes en essayant de
comprendre ta phrase, mais je n'y arrive pas. Dans le doute, je vais
répondre quelque chose en espérant que ce sera la réponse à ta question.

1) La première chose à faire est de vérifier par isset si le tableau
$_REQUEST contient bien une entrée du nom qui t'intéresse.

2) Si le premier résultat est positif, la seconde chose à faire *peut*
être de regarder si la valeur est une chaîne vide, mais ce n'est pas
forcément obligatoire. Vérifier directement que la valeur est bien
de la forme que tu attends peut suffire (par exemple, pour un entier
positif, vérifier qu'elle contient un chiffre ou plus et aucun autre
caractère).


P.-S. : Ton adresse n'est toujours pas conforme aux recommandations pour
les adresses invalides. Ça t'ennuie de mettre le .invalid à la fin ?

désolé je me suis peux être mal exprimé.

j'ai eu le cas sur un script ou j'ai essayé de faire une isset suivi d'un
empty imbriqué dans le premier if.

je me demandais si le formulaire est posté vide est ce que les variables
testé par isset existe quand même,

ci joint un exemple de code.

if(isset($_POST['sexe']) && (isset($_POST['nom'])) &&
(isset($_POST['prenom'])) && (isset($_POST['code_postal']))
&&(isset($_POST['adresse'])) && (isset ($_POST['ville'])) &&(
isset($_POST['telephone'])) &&(isset($_POST['courriel'])) &&
(isset($_POST['message']))){
$sexe=$_POST['sexe'];
$nom=$_POST['nom'];
$prenom=$_POST['prenom'];
$cp=$_POST['code_postal'];
$adresse=$_POST['adresse'];
$ville=$_POST['ville'];
$telephone=$_POST['telephone'];
$mail=$_POST['courriel'];
$demande=$_POST['message'];



$erreur = 0;
$message_erreur="Veuillez compléter";

if (empty($_POST['nom']))
{
echo "<br/><p style= "color:red;"> $message_erreur votre nom <br>";
$erreur = 1;
}

if (empty($_POST['prenom']))
{
echo "<br/><p style= "color:red;"> $message_erreur votre prénom
<br> ";
$erreur = 1;
}

if (empty($_POST['adresse']))
{
echo "<br/><p style= "color:red;"> $message_erreur votre adresse
<br>";
$erreur = 1;
}

if (empty($_POST['code_postal']))
{
echo "<br/><p style= "color:red;"> $message_erreur votre code postal
<br>" ;
$erreur = 1;
}else
if(!preg_match("!^[0-9]{5}$!",$_POST['code_postal']))
{
echo "<br/>veuillez saisir un Code Postal correct <br>";
$erreur = 1;
}

if (empty($_POST['ville']))
{
echo "<br/><p style= "color:red;"> $message_erreur votre ville <br>";
$erreur = 1;
}


if (empty($_POST['telephone']))
{
echo "<br/><p style= "color:red;"> $message_erreur votre téléphone
<br>";
$erreur = 1;
}
else
if (!preg_match("!^0[1-48][0-9]{8}$!", $_POST['telephone']))
{
echo "<br/>veuillez saisir un numéro téléphone correct <br>";
$erreur = 1;
}

if(empty($_POST['courriel']))
{

echo "<br/><p style= "color:red;"> $message_erreur votre mail <br>";
$erreur = 1;
}else
/*if (!preg_match("!^[a-z0-9.-_]+@[a-z.]+.[a-z]{2,3}$!"
$_POST['mail']))
{
echo "<br/>veuillez saisir une adresse email correct <br>";
$erreur = 1;
}*/



if ($erreur == 0){

erreur == 0){



$sql=pg_query($conn, "INSERT INTO contact(sexe, nom, prenom, adresse,
code_postal, ville, telephone, courriel, message)

VALUES('$sexe', '$nom', '$prenom', '$adresse', '$cp','$ville', '$telephone', '$mail','$demande')");


//echo "n n".$sexe.' ' .$nom.' ' .$prenom . ' '. "Votre demande a
bien été enregistrer nous la traiterons avec le plus grand soin";


}
}

j'ai eu le cas sur un script ou j'ai essayé de faire une isset suivi d'un
empty imbriqué dans le premier if.

Ça n'a aucun intérêt. Parce qu'en PHP, une chaîne vide

je me demandais si le formulaire est posté vide est ce que les variables
testé par isset existe quand même,

Normalement oui.

ci joint un exemple de code.

if(isset($_POST['sexe']) && (isset($_POST['nom'])) &&
(isset($_POST['prenom'])) && (isset($_POST['code_postal']))
&&(isset($_POST['adresse'])) && (isset ($_POST['ville'])) &&(
isset($_POST['telephone'])) &&(isset($_POST['courriel'])) &&
(isset($_POST['message']))){

C'est pas très lisible tout ça, avec des parenthèses en trop, on se
croirait en LISP ;) Tu devrais faire une fonction qui teste la présence
de toutes ces clés dans le tableau $_POST. Et ne pas mettre des
parenthèses inutiles.

$sexe=$_POST['sexe'];
$nom=$_POST['nom'];
$prenom=$_POST['prenom'];
$cp=$_POST['code_postal'];
$adresse=$_POST['adresse'];
$ville=$_POST['ville'];
$telephone=$_POST['telephone'];
$mail=$_POST['courriel'];
$demande=$_POST['message'];

À quoi ça sert de supprimer une fonctionnalité si les utilisateurs
s'empressent de jeter les variables HTTP dans le scope global comme tu
le fais ?

if (!preg_match("!^0[1-48][0-9]{8}$!", $_POST['telephone']))
{
echo "<br/>veuillez saisir un numéro téléphone correct <br>";
$erreur = 1;
}

Un numéro de téléphone est une suite indéterminée de chiffres ;) À
moins qu'il n'y ait une norme internationale ?

if(empty($_POST['courriel']))
{

echo "<br/><p style= "color:red;"> $message_erreur votre mail <br>";
$erreur = 1;
}else
/*if (!preg_match("!^[a-z0-9.-_]+@[a-z.]+.[a-z]{2,3}$!"
$_POST['mail']))

Les adresses en .info n'ont pas le droit de citer chez toi ? Et quid
de ceux qui ont un courriel du type toto.nom.fr ? J'avais essayé de
faire une Regex qui match les adresses courantes, mais elle n'est
malheureusement pas universelle :
<http://lupusmic.org/pro/docs/regex.php>. Son amélioration est dans ma
TODO List ;)

$sql=pg_query($conn, "INSERT INTO contact(sexe, nom, prenom, adresse,
code_postal, ville, telephone, courriel, message)

VALUES('$sexe', '$nom', '$prenom', '$adresse', '$cp','$ville', '$telephone', '$mail','$demande')");

XSS détectée !

--
Mickaël Wolff aka Lupus Michaelis
http://lupusmic.org

Avant de savoir s'il est vide, il faut savoir s'il existe, et s'il est
justement est ce que si une variable esst vide est ce qu'elle existe dans

la cas ou l'internaute validerait un post vide.
(snip)

désolé je me suis peux être mal exprimé.

j'ai eu le cas sur un script ou j'ai essayé de faire une isset suivi d'un
empty imbriqué dans le premier if.

je me demandais si le formulaire est posté vide est ce que les variables
testé par isset existe quand même,

C'est dans la spec HTTP, tout ça. Et la réponse est non. S'il n'y a
aucune valeur positionnée pour un champ de formulaire, ce champ
n'apparaitra pas dans la requête.

ci joint un exemple de code.

if(isset($_POST['sexe']) && (isset($_POST['nom'])) &&
(isset($_POST['prenom'])) && (isset($_POST['code_postal']))
&&(isset($_POST['adresse'])) && (isset ($_POST['ville'])) &&(
isset($_POST['telephone'])) &&(isset($_POST['courriel'])) &&
(isset($_POST['message']))){
$sexe=$_POST['sexe'];
$nom=$_POST['nom'];
$prenom=$_POST['prenom'];
$cp=$_POST['code_postal'];
$adresse=$_POST['adresse'];
$ville=$_POST['ville'];
$telephone=$_POST['telephone'];
$mail=$_POST['courriel'];
$demande=$_POST['message'];

$erreur = 0;
$message_erreur="Veuillez compléter";

if (empty($_POST['nom']))
{
echo "<br/><p style= "color:red;"> $message_erreur votre nom <br>";
$erreur = 1;
}
if (empty($_POST['prenom']))
{
echo "<br/><p style= "color:red;"> $message_erreur votre prénom
<br> ";
$erreur = 1;
}

(snip)

Doux Jésus...

Tu connais les notions de boucles, de tableau associatifs et de fonction
de rappel ? Parce que franchement, ça te simplifierait la vie...

principe:
1/ tu stockes dans tableau associatif les paires nom_du_champ =>
[nom_fonction_validation, valeur_defaut]. Les fonctions de validation
prennent en entrée un nom de champ, un tableau ($_POST dans ce cas), et
une valeur de défaut optionnelle (NULL par defaut)) et retournent une
paire [valeur, message_erreur].

2/ au retour du post, tu itères sur ces paires, et pour chacune tu
appelle la fonction de validation avec les données qui vont bien, et tu
stocke les résultat dans deux tableaux associatifs 'valeurs' et
'erreurs', ie:

$valeurs = array();
$erreurs = array();
foreach($champs as $nom=>$definition) {
list($valider, $defaut) = $definition;
list($val, $err) = $valider($nom, $_POST, $defaut);
$valeurs[$nom] = $val;
$erreurs[$nom] = $err;
}

2/bis : évidemment, il y a des cas où tu dois faire des validation plus
complexes. Il suffit alors de les ajouter *après* cette boucle - au
moins, le plus gros est fait.

3/ après ça, il suffit de tester le tableau $erreurs pour savoir si le
formulaire est valide.

Si oui, tu n'a plus qu'à soit insérer/mettre à jour tes données d'après
le tableau $valeurs (la construction de la requête SQL qui va bien étant
assez triviale grâces aux fonctions de traitement des tableaux).

Sinon, tu rappelles le fichier 'template' (ie: mélange de php et html)
qui défini ton formulaire en lui passant les deux tableaux, et tu
affiches le resultat.

Euh... raté.

Tu peux mettre yoyo@fr.invalid ou yoyo@news.free.fr.invalid mais
l'essentiel est d'avoir le .invalid à la fin. Comme je le disais,
c'est un nom de domaine réservé spécialement pour ça, ce qui permet
aux logiciels comme aux humains de savoir du premier coup d'½il
qu'il est inutile d'écrire à une telle adresse, ou d'y relayer un message.

Voir <http://groups.google.fr/group/fr.usenet.reponses/msg/2bf2905def1f1bf3>

Olivier Miakinen wrote:

[ citation intégrale ]

Merci aussi de ne pas citer l'intégralité des articles auxquels tu ne
réponds qu'en partie. Si tu l'as fait sur toutes les réponses qui t'ont
été faites, il est probable que certains de tes articles aient été
refusés (sans que tu le saches, because adresse invalide).

Voir <http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html>

désolé je me suis peux être mal exprimé.

j'ai eu le cas sur un script ou j'ai essayé de faire une isset suivi d'un
empty imbriqué dans le premier if.

je me demandais si le formulaire est posté vide est ce que les variables
testé par isset existe quand même,

Ça doit dépendre du type de contrôle : pour un champ de type texte, il y
a probablement une chaîne vide, tandis que pour un choix multiple ce ne
sera pas rempli. Mais à la limite ça n'a pas d'importance : ce qui
compte c'est de savoir quelles sont les valeurs que tu peux attendre
quand la réponse est correcte, et comment réagir aux valeurs absentes ou
incorrectes.

ci joint un exemple de code.

if(isset($_POST['sexe']) && (isset($_POST['nom'])) [...]
if (empty($_POST['nom']))
{
[...]

Si isset() a répondu VRAI, alors la variable contient forcément une
chaîne de caractères. D'après la doc, ce que tu testes avec empty()
revient à regarder si la chaîne est égale à "" ou à "0", ce qui
correspond assez peu à l'intuition. Je te conseille d'abandonner
empty() et de faire un test correspondant vraiment à ce que tu veux
accepter ou refuser.

Voir <http://fr3.php.net/empty>

Le 06/10/2007 22:25, Mickael Wolff répondait à yoyo :

/*if (!preg_match("!^[a-z0-9.-_]+@[a-z.]+.[a-z]{2,3}$!"
$_POST['mail']))

Les adresses en .info n'ont pas le droit de citer chez toi ? Et quid
de ceux qui ont un courriel du type toto.nom.fr ?

Et quid de mon adresse om+news@miakinen.net ? Elle sera aussi refusée
par le test de yoyo, alors qu'elle est valide (elle).

J'avais essayé de
faire une Regex qui match les adresses courantes, mais elle n'est
malheureusement pas universelle :

Ça sert à quoi que bibi il se décarcasse ? ;-)

http://faqfclphp.free.fr/#rub5.3

<http://lupusmic.org/pro/docs/regex.php>.

Aaargh ! Tu arrives à lire du texte en violet foncé (ou peut-être en
bleu) sur une image en nuances de violet clair ?

Et quid de mon adresse om+news@miakinen.net ? Elle sera aussi refusée
par le test de yoyo, alors qu'elle est valide (elle).

J'avais commencé à utiliser des adresses avec le délimiteur '+'. Mais
j'ai arrêté le jour où une personne m'a dis que c'est compliqué (ben
ouais, un point c'est facile, un '+' c'est compliqué, trivial... non ?)

Ça sert à quoi que bibi il se décarcasse ? ;-)
http://faqfclphp.free.fr/#rub5.3

Effectivement, je note :)

Aaargh ! Tu arrives à lire du texte en violet foncé (ou peut-être en
bleu) sur une image en nuances de violet clair ?

Bleu marine sur violet voilé. Ben sur mon écran ça passe bien... mais
je conçois que sur d'autres ça peut mal passé. J'ai bien une CSS que je
préfère, mais elle est moins attrayante (les gens aiment les couleurs
flashies et pas le noir, alors que le clair sur le noir, c'est bien plus
visible). Tu peux changer la CSS si tu veux, je les ai mises en
alternatives ;)


--
Mickaël Wolff aka Lupus Michaelis
http://lupusmic.org

Mickael Wolff wrote:

j'ai eu le cas sur un script ou j'ai essayé de faire une isset suivi d'un
empty imbriqué dans le premier if.

Ça n'a aucun intérêt. Parce qu'en PHP, une chaîne vide

je me demandais si le formulaire est posté vide est ce que les variables
testé par isset existe quand même,

Normalement oui.

ci joint un exemple de code.

if(isset($_POST['sexe']) && (isset($_POST['nom'])) &&
(isset($_POST['prenom'])) && (isset($_POST['code_postal']))
&&(isset($_POST['adresse'])) && (isset ($_POST['ville'])) &&(
isset($_POST['telephone'])) &&(isset($_POST['courriel'])) &&
(isset($_POST['message']))){

C'est pas très lisible tout ça, avec des parenthèses en trop, on se
croirait en LISP ;)
ha bon une parenthese en trop laquelle ?

Tu devrais faire une fonction qui teste la présence
de toutes ces clés dans le tableau $_POST. Et ne pas mettre des
parenthèses inutiles.

c'est a dire....

$sexe=$_POST['sexe'];
$nom=$_POST['nom'];
$prenom=$_POST['prenom'];
$cp=$_POST['code_postal'];
$adresse=$_POST['adresse'];
$ville=$_POST['ville'];
$telephone=$_POST['telephone'];
$mail=$_POST['courriel'];
$demande=$_POST['message'];

À quoi ça sert de supprimer une fonctionnalité si les utilisateurs
s'empressent de jeter les variables HTTP dans le scope global comme tu
le fais ?

que veux tu dire parle scope global.

if
(!preg_match("!^0[1-48][0-9
{8}$!",

$_POST['telephone']))
{
echo "<br/>veuillez
saisir un numéro
téléphone correct <br>";
$erreur = 1;
}

Un numéro de téléphone est une suite indéterminée de chiffres ;) À
moins qu'il n'y ait une norme internationale ?

if(empty($_POST['courriel']))
{

echo "<br/><p style >> "color:red;"> $message_erreur
votre mail <br>"; $erreur = 1;
}else
/*if

(!preg_match("!^[a-z0-9.-_]+@[a-z.]+.[a-z]{2,3}$!"

$_POST['mail']))

Les adresses en .info n'ont pas le droit de citer chez toi ? Et quid
de ceux qui ont un courriel du type toto.nom.fr ?

oais en effet je n'y avais pas pensé,

J'avais essayé de
faire une Regex qui match les adresses courantes, mais elle n'est
malheureusement pas universelle :
<http://lupusmic.org/pro/docs/regex.php>. Son amélioration est dans ma
TODO List ;)

$sql=pg_query($conn, "INSERT INTO
contact(sexe, nom, prenom,
adresse,
code_postal, ville, telephone, courriel, message)

VALUES('$sexe', '$nom', '$prenom', '$adresse', '$cp','$ville',
'$telephone', '$mail','$demande')");

XSS détectée !