Probème lors de la définition de l'arborescence, quelle solution?
arnaud_lambert
Messages postés
1
Date d'inscription
mercredi 6 décembre 2006
Statut
Membre
Dernière intervention
29 mars 2008
-
29 mars 2008 à 12:01
neigedhiver Messages postés 2480 Date d'inscription jeudi 30 novembre 2006 Statut Membre Dernière intervention 14 janvier 2011 - 29 mars 2008 à 13:46
neigedhiver Messages postés 2480 Date d'inscription jeudi 30 novembre 2006 Statut Membre Dernière intervention 14 janvier 2011 - 29 mars 2008 à 13:46
A voir également:
- Probème lors de la définition de l'arborescence, quelle solution?
- Net obfuscation solution - Conseils pratiques -Visual Basic / VB.NET
- Solution portail intranet - Forum PHP
- Pyramide de chiffre solution ✓ - Forum C
- Pedantix solution ✓ - Forum C++ & C++ .NET
- Librairie arborescence ✓ - Forum Java
3 réponses
neigedhiver
Messages postés
2480
Date d'inscription
jeudi 30 novembre 2006
Statut
Membre
Dernière intervention
14 janvier 2011
19
29 mars 2008 à 12:48
29 mars 2008 à 12:48
Salut,
Tester une variable de $_GET pour savoir quel contenu afficher dans sa page (hors entête et pied de page) est une très bonne idée. Tellement bonne qu'elle est franchement très très répandue.
Aucun soucis de ce côté là, donc.
Question sécurité, tu fais bien de te poser la question : bonne initiative.
L'erreur (qui créer une faille) que de (trop) nombreux débutants font est d'utiliser directement la variable GET comme nom de fichier à inclure : il faut TOUJOURS contrôler au maximum les valeurs des variables dont la source n'est pas maitrisable ($_GET, $_POST, $_COOKIE, tout ce qui vient d'une saisie utilisateur).
A partir de là, toutes les solutions s'offrent à toi :
- utiliser une liste de pages autorisées
- vérifier que le fichier demandé est bien dans un répertoire autorisé
- tout ce que tu veux quoi
Il faut simplement reprendre le contrôle du contenu des variables. La meilleur solution consistant, sur le principe, à interdir tout et n'autoriser que ce dont on a besoin.
Concernant ta troisième solution, le llien que tu as donné met des heures à ne pas s'ouvrir chez moi... donc je peux pas en dire grand chose...
Cela dit, je ne comprends pas pourquoi tu parles à la fois de niveau (avec ou sans connexion utilisateur) et de méthode de construction de tes pages HTML : ça me semble être deux choses différentes qui n'ont pas vraiment à voir entre elles...
<hr size="2" width="100%" />Neige
N'hésitez pas à lire la doc de PHP avant de poser des questions triviales...
Tester une variable de $_GET pour savoir quel contenu afficher dans sa page (hors entête et pied de page) est une très bonne idée. Tellement bonne qu'elle est franchement très très répandue.
Aucun soucis de ce côté là, donc.
Question sécurité, tu fais bien de te poser la question : bonne initiative.
L'erreur (qui créer une faille) que de (trop) nombreux débutants font est d'utiliser directement la variable GET comme nom de fichier à inclure : il faut TOUJOURS contrôler au maximum les valeurs des variables dont la source n'est pas maitrisable ($_GET, $_POST, $_COOKIE, tout ce qui vient d'une saisie utilisateur).
A partir de là, toutes les solutions s'offrent à toi :
- utiliser une liste de pages autorisées
- vérifier que le fichier demandé est bien dans un répertoire autorisé
- tout ce que tu veux quoi
Il faut simplement reprendre le contrôle du contenu des variables. La meilleur solution consistant, sur le principe, à interdir tout et n'autoriser que ce dont on a besoin.
Concernant ta troisième solution, le llien que tu as donné met des heures à ne pas s'ouvrir chez moi... donc je peux pas en dire grand chose...
Cela dit, je ne comprends pas pourquoi tu parles à la fois de niveau (avec ou sans connexion utilisateur) et de méthode de construction de tes pages HTML : ça me semble être deux choses différentes qui n'ont pas vraiment à voir entre elles...
<hr size="2" width="100%" />Neige
N'hésitez pas à lire la doc de PHP avant de poser des questions triviales...
malalam
Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Membre
Dernière intervention
2 mars 2010
25
29 mars 2008 à 13:29
29 mars 2008 à 13:29
Hello,
comme Neige : je ne peux pas voir le lien qu tu donnes.
Néanmoins, moi, quand je fonctionne de cette manière, je prévois simplement les modules autorisés dans un tableau. Si la variable du GET ne me convient pas, je redirige sur l'accueil. Et là, aucun soucis à se faire, comme le dit Neige.
comme Neige : je ne peux pas voir le lien qu tu donnes.
Néanmoins, moi, quand je fonctionne de cette manière, je prévois simplement les modules autorisés dans un tableau. Si la variable du GET ne me convient pas, je redirige sur l'accueil. Et là, aucun soucis à se faire, comme le dit Neige.
neigedhiver
Messages postés
2480
Date d'inscription
jeudi 30 novembre 2006
Statut
Membre
Dernière intervention
14 janvier 2011
19
29 mars 2008 à 13:46
29 mars 2008 à 13:46
Merci de confirmer malalam... C'est pas facile de débuter, merci de me soutenir...
<hr size="2" width="100%" />Neige
N'hésitez pas à lire la doc de PHP avant de poser des questions triviales...
<hr size="2" width="100%" />Neige
N'hésitez pas à lire la doc de PHP avant de poser des questions triviales...