Meilleure facon de coder en php

Meilleure facon de coder en php - PHP - Programmation

Marsh Posté le 21-09-2006 à 16:44:51    

Bonjour,
 
Actuellement je code un site et pour changer les pages jutilise un moyen classique cest a dire une variable GET $page et ensuite une switch dans mon index.php qui va ouvrir la bonne page selon cette variable.
Est ce une bonne solution niveau securite ? Sinon que me conseillez vous ?
De meme est embetant par exemple quand on affiche un article davoir une variable get $id ? Lutilisateur peut le changer et peut etre acceder a des choses quil ne devrai pas (normallement non mais bon...)
 
Je vais surement mettre en place lurl rewritting, mais pour le moment je nai pas eu le temps et je ne sais pas si jaurai le temps, em p´lus je ne sais pas si ca enleve ces defaut...
 
Merci (desole pour les fautes c un clavier qwerty je nai pas lhabitude et je ne trouve pas ce foutu apostrophe :D)

Reply

Marsh Posté le 21-09-2006 à 16:44:51   

Reply

Marsh Posté le 21-09-2006 à 17:28:52    

Vu y'a quelques jours, tu devrais trouver la réponse à tes questions! :)  
> http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0

Reply

Marsh Posté le 22-09-2006 à 21:23:23    

Merci, pas pu faire de recherchem je suis au bresil et je nai qu un vieux modem 56K et c affreux comme c lent !!!
A priori mon systeme est bon, mais je vais continmuer a lire, merci !
 
Une autre question au passage, pour securiser une partie administration, est ce une bonne solution de creer une variable de session au login dun utilisateur et de nafficher la partie admin que si cette variable existe ?

Reply

Marsh Posté le 23-09-2006 à 02:25:53    

Loizo a écrit :

Merci, pas pu faire de recherchem je suis au bresil et je nai qu un vieux modem 56K et c affreux comme c lent !!!
A priori mon systeme est bon, mais je vais continmuer a lire, merci !
 
Une autre question au passage, pour securiser une partie administration, est ce une bonne solution de creer une variable de session au login dun utilisateur et de nafficher la partie admin que si cette variable existe ?


Tu loggues l'utilisateur quand besoin et tu vérifies que c'est bien un admin quand il veut une page admin :)
 
Après à toi de sécuriser tes sessions (le contenu est sur le serveur donc sauf si l'accès est libre et/ou que c'est une passoire, de ce côté ça devrait aller ;) ) pour que le vol d'ID de session soit pas possible ;)

Reply

Marsh Posté le 23-09-2006 à 20:03:02    

Comment jempeche le vol d´ID justement ? Jai jamais fait ca...

Reply

Marsh Posté le 25-09-2006 à 10:03:53    

De base, l'ID de session est transmis uniquement entre le visiteur et le site web.  Il y a vol d'ID de session lorsque quelqu'un réussit à récupérer l'ID de session de quelqu'un d'autre.
 
Le vol d'ID de session est possible dans deux cas:
- faille de cross-site scripting qui permet de récupérer le cookie du site. Par exemple, si tu as par mégarde laissé la possibilité à l'utilisateur de mettre du javascript dans ses messages (commentaires, posts de forum), il est possible de récupérer le cookie de l'utilisateur sur un serveur distant.
- si l'ID de session est dans l'URL du site, faire cliquer l'utilisateur sur un lien extérieur au site peut lui faire révéler son ID de session à cause du Referrer dans l'en-tête de la requête.
 
Pour éviter le vol d'ID de session, deux choses à mettre en place:
- blinder son site contre les failles de type XSS
- préférer les sessions par cookies plutôt que par URL
 
Pour éviter que les ID de session volés soient exploitables:
- changer l'ID de session régulièrement (au login par exemple) avec session_regenerate_id()
- vérifier l'IP associée à la session, et invalider la session si l'IP ne correspond pas


---------------
Loose Change Lies | Bars | Last.fm
Reply

Marsh Posté le 25-09-2006 à 10:21:37    

KrisCool a écrit :

- vérifier l'IP associée à la session, et invalider la session si l'IP ne correspond pas

  • Les clients d'AOL te remercieront. (AOL dispose de routeurs ayant plusieurs IP externe ce qui fait que leurs clients peuvent changer d'IP externe à chaque fois qu'ils demandent une nouvelle page)
  • Les clients en rtc qui ont des problémes de conections te remercieront aussi.


En bref, ce n'est pas une solution fiable.

Reply

Marsh Posté le 25-09-2006 à 10:37:42    

omega2 a écrit :

  • Les clients d'AOL te remercieront. (AOL dispose de routeurs ayant plusieurs IP externe ce qui fait que leurs clients peuvent changer d'IP externe à chaque fois qu'ils demandent une nouvelle page)
  • Les clients en rtc qui ont des problémes de conections te remercieront aussi.


En bref, ce n'est pas une solution fiable.


 
J'avais oublié à quel point AOL pouvait casser les couilles avec ses idées à la con. Pour le client RTC qui déconnecte tout le temps, oui mais non hein. On est en 2006, donc à moins de viser un public non français, ça concerne pratiquement personne. C'est clairement pas ça qui me ferait changer mes specs. Le problème avec AOL par contre oui.


---------------
Loose Change Lies | Bars | Last.fm
Reply

Marsh Posté le 25-09-2006 à 10:44:24    

KrisCool a écrit :

J'avais oublié à quel point AOL pouvait casser les couilles avec ses idées à la con.


Je multiplussoie :) Remarque, on en a pas pour très longtemps avec AOL, du moins en France, vu qu'AOL France a été racheté  :hello:  

Reply

Marsh Posté le 25-09-2006 à 16:32:37    

Merci des infos ;)
A priori je ne rentre dans aucun cas ou mon ID de session peut etre vole donc c cool ! :)

Reply

Marsh Posté le 25-09-2006 à 16:32:37   

Reply

Marsh Posté le 26-09-2006 à 14:13:04    

Loizo a écrit :

Merci des infos ;)
A priori je ne rentre dans aucun cas ou mon ID de session peut etre vole donc c cool ! :)


J'en serais pas si sur ;)
Il faut d'une manière où d'une autre pouvoir être ne serait ce que quasiment sur que tel ID est bien celui du bon client ;)
Après j'ai pas de solution toute faite, l'IP c'est restrictif mais y'a encore plein de trucs qui peuvent mener à savoir si le cookie a été volé ou pas :)

Reply

Marsh Posté le 28-09-2006 à 02:08:07    

Bon ok, de toute facon cette histoire ne concerne que la partie admon de mon site et je vais mettre un htaccess, jespere ]que ca suffira...
MErci a tlm pour votre aide !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed