[PHP] Page d'inscription // MaNGOS

Salut !

J'ai fait une page d'inscription légère pour les petits serveurs persos.
Tout tiens sur un fichier codé en UTF-8.
Le statut des serveurs est affiché dynamiquement.


Il y a des variables à modifier au début du fichier.
Les données du formulaire doivent être alphanumériques pour protéger le serveur des injections SQL.

TÉLÉCHARGER : http://vosky78.free.fr/downloads/autres/...mangos.zip

Sympa ! ça me fait penser que faudrait que j'en fasse une aussi en mode light comme ça à distribuer.

Des injections SQL sont encore possibles, par exemples:

Code :

$sql = 'INSERT INTO account (username, sha_pass_hash, email, expansion) VALUES ("'.$compte.'", "'.$motdepasse.'", "'.$_POST['email'].'", '.$_POST['extension'].')';

Désolé, je débute en PHP-SQL.

Mais avant de faire l'insertion, je vérifie que les données sont alphanumérique.
Donc logiquement, impossible de faire un "OR 1=1" ou autres <>.

Je ne vois pas la faille.
Si aussi tu pouvais m'expliquer comment la combler, ça serait sympa.

En effet au dessus il y à une vérification sur le post email, mais voir un post dans une requète sql me fait toujours un effet plus que bizard ...

J'avoue

---

Édition :
Et mysqli ou PDO c'est le bien

Non par contre il y a possibilitée de feinter l'inscription à travers un lien forgé pour récupérer les infos d'inscription (je ne donnerais pas l'exemple d'URL).
Pour palier à cela, remplace tes $PHP_SELF par tout simplement le caractère #.

Voila c'est corrigé.
Merci pour l'info.

Je vois des failles avec des injections sql. Avant d'utiliser des variables dans une requête test is_numeric() pour les nombres et mysql_real_escape_string() pour les types string

J'ai suivis vos conseils :
-mysqli
-# dans le formulaire
-mysql_real_escape_string