PHP : questions

[Patastronch]

Mais alors ou les stocker ?
de plus j'ai fait attention aux injections de codes, en mettant des htmlspecialchars et en faisant attention pour tous les formulaires.
De toute facon session['argent'] ne me sert que pour afficher son argent mais la bdd est bien modifiée en faisant
update joueur set argent=argent - $prix_achat where id=".$_SESSION['id']."

L'affichage c 'est pas sensible, mais la lecture de la valeur pour vérifier si il a assez d'argent ainsi que la modification de la quantité d'argent doit toujours se faire par la db selon moi.

Utilise addslashes surtout pour eviter le SQL inject, sinon c'est ta db qui va devenir une vraie passoire.

[lapras]

htmlspecialchars ne suffie pas pour eviter les injections ?

[Patastronch]

htmlspecialchars ne suffie pas pour eviter les injections ?

Je suis loin d 'etre un pro de la sécurité, mais on est jamais a l'abris des injections !
addslashes s'utilise sur toutes les données qui vont faire parti d'une requete SQL. Par exemple dans ton update ton $prix_achat moi je le fait passer par un addslashes avant (voir meme un intval).
mysql_real_escape_string peut aussi remplacer addslashes (la différence entre les 2 est que addslashes ne fait pas tout ce que fait mysql_real_escape_string)

htmlspecialchars j'utillise pas, je peux pas te dire ce qu'il empeche vraiment. Mais je crois que c'est comme htmlentities mais uniquement sur un sous-ensemble de balise.

htmlentities ca te permet d'eviter les injections de javascript ( et encore c'est vite dit ...).

De toute facon il ya toujours moyen de feinter des filtres (surtout si on sait lesquelles sont utilisé) pour faire passer du code dans une variable. Apres en utilisant les bon filtre au bon moment tu augemente cette difficulté et t'empeche qu'un gamin de 15 ans viennes te pourrir ton site.