ESPACE MEMBRE V2

Commentaire de nicomilville le 09/05/2008 21:05:02

Salut,

Pour toutes question sur le script allez sur le forum suivant : http://ressource.superforum.fr/index.htm

a++

Commentaire de bentom32390 le 10/05/2008 08:41:58

sur ton scrpit il il y une erreur dans les php <? doit etre <?php pour que tout les serveur puisse le lire du cou sa marche pas

Commentaire de nicomilville le 10/05/2008 12:37:25

c'est bon j'ai fait les modifs sur tout les fichiers et j'ai dis a mon associé de ne plus mettre la balise <? mais celle la <?php

a++

Commentaire de nicomilville le 10/05/2008 16:02:29

ok, je vais voir, on dirai que ce script me réserve encore plein de surprise !

a++

Commentaire de webdeb le 11/05/2008 19:10:49

@Neigedhiver : tu peux aussi faire SELECT COUNT(1). J'ai des doutes quant au SELECT COUNT(*) plus lent que le SELECT COUNT(id).

@Nicomville : j'ai ouvert uniquement ton fichier inscription.php et il y'a plein de trucs à améliorer.

0/ Ton session_start() tout en haut n'a pas lieu d'être. Tu le fais quand le membre est bien inscrit et redirigé vers son espace. Ca suffit largement.

1/ Déjà tu fais des echo $erreur !!! Pourquoi le echo ?

2/ Tu contrôles que tous les champs sont saisis d'un coup mais il vaudrait mieux le faire un par un pour savoir ensuite quel(s) champ(s) n'a pas été remplis.

3/ En règle général un login est composé de caractères alphanumériques + tiret et underscore. Toi tu acceptes tous les caractères... On peut donc écrire un login complètement exotique... Pas terrible nan?

4/ On ne fait pas de "or die()" en production. Il faut les utiliser uniquement quand on développes le script. Quand celui ci est prêt, on les dégage afin de ne pas risquer d'afficher des erreurs critiques à l'utilisateur final.

5/ Remplace ta requête de comptage par ceci :

$req = mysql_query(sprintf('SELECT COUNT(1) FROM membre WHERE login="%s"', mysql_real_escape_string($_POST['login'])));

6/ Remplace ton $data = mysql_fetch_array() par :

$nbResults = (int) mysql_result($req, 0, 0);

7/ Ainsi tu remplaces if($data[0] == 0) par :

if(0 === $nbResults)

8/ La requête d'insertion peut-être améliorée par :

$sql = sprintf(
'INSERT INTO membre (login, pass_md5, date) VALUES("%s","%s",NOW())',
mysql_real_escape_string($_POST['login']),
md5($_POST['pass'])
);

if(mysql_query($sql)) {

// Suite du code

} else {

$erreur = 'Une erreur interne a empêché l\'inscription';
}

9/ Normalement dans le header() on doit placer un chemin absolu. Par exemple : http://www.tonsite.com/membre/page.php

10/ On ne fait pas de SELECT * mais on liste les champs

11/ mysql_fetch_array() est à remplacer par mysql_fetch_assoc() car plus rapide

12/ Dans ton <form> tag, remplace le <? par <?php

13/ Pas la peine de faire des htmlentities(). Htmlspecialchars() suffit

14/ Il ne faut pas faire de stripslashes(). Le stripslashes() c'est uniquement si le serveur est mal configuré, c'est-à-dire avec magic_quotes_gpc à On

Voilà, pas moins de 15 améliorations pour un même fichier. Amuse toi bien ;)

++

Hugo.

Commentaire de nicomilville le 12/05/2008 09:43:52

Salut webdeb,

Merci pour la liste des modifications a faire !

@bcmfr : on dirai que tu adore mettre des notes en dessous de la moyenne perso si j'avais été toi j'aurai d'abord donné des conseil pour améliorer le code et ensuite si ça n'avais pas bougé j'aurai mis cette note mais toi tu arrive tu me met un 3 directement, je ne sais pas vous mais tu aurai pu attendre que je fasse quelque modification !

a++

Commentaire de webdeb le 12/05/2008 11:30:08

@Nicomilville : tu le supprimes tout simplement. La session n'a pas à être ouverte tout en haut de la page. Elle doit l'être uniquement quand l'inscription s'est bien passée. Ca tu le fais bien juste avant la redirection vers membre/index.php à la ligne 31.

Commentaire de nicomilville le 12/05/2008 12:23:47

je n'ai pas fait toute les modifications mais elles viendront plus tard !

a++

Commentaire de nicomilville le 12/05/2008 18:38:30

non, non ne t'inquiète pas, je ne prend pas mal tes remarques, oui il est vrai que je répond a beaucoup de post sur les forum code source (plus particulièrement phpcs et javascriptfr) !

a++

Commentaire de nicomilville le 12/05/2008 20:28:59

ok, merci pour le 10, par contre si vous trouvez des failles XSS comme je n'ai pas très bien compris le principe... je crois que c'est par l'url mais rien de sur ...

a++

Commentaire de neigedhiver le 12/05/2008 21:24:11

C'est vraiment le monde à l'envers... mettre une note avant de tester ou quoi... :/

Commentaire de coucou747 le 13/05/2008 15:06:45 administrateur CS

# $retour = mysql_query("SELECT * FROM EM_site");
# $donn = mysql_fetch_array($retour);

tu ne fais aucune verification d'erreur... si ca se trouve, qqn fait ces interrogations sans avoir installe la base de donnnee...

Commentaire de nicomilville le 28/10/2008 16:13:29

Pourquoi 1 ?

Ce n'est pas que la note me dérange mais j'aimerai une argumentation plutot quune stupide grimace !

a++

Commentaire de nicomilville le 30/10/2008 09:09:30

Merci sheorogath.

Je ne sais pas ce que je lui ai fait, ce doit être l'ancien membre qui a été viré de codes sources car il metteit plein de source qui ne lui appartenait pas et a qui avec quelque personne on a mis 1 car ce n'était pas commenté, le code était mauvais et minuscule et il disait qu'il était de lui alors qu'il l'avais piqué sur un site !

a++

Commentaire de gfpl le 30/03/2009 19:14:12

ça a le  mérite d'un  8 faut avouer que c'est bien commenter complet MAIS mais le plus important qui manque c'est bien la récupération du mots de passe lors de l'oubli trop peu de source traitent de ca