c'est p-e limité, mais tout de même efficace...
de mon côté c'est juste une protection supplémentaire...
J'utilise les sessions php qui a elles seules font déjà un bon boulot de protection... sans compter mes filtres de navigateur et http_referrer, le cryptage de scripts javascript... etc. mais faut quand même pas en devenir dingue et je crois que ça sera suffisant pour le moment...
sur ce point je suis d'accord avec toi jotrash , on pourrai tres bien devellopper un aspirateur de site "lent" c'est a dire executant un nombre faible de requette sur le serveur par minute et au passage on pourrai tres bien lui indiquer de verifier quil y a bien quelques chose entre les balises ... :)
Mais en fait les aspirateurs de site sont plus des programmes utilitaire pour internaute, dans mon cas ils sont interresant car c'est pour une securation du site intranet d'une entreprise mais pour le reste leur utilisation est il faut bien le dire assez limitée
ce que je peux dire, c'est que ça fonctionne très bien...
imaginez-vous que notre propre gouvernement canadien est tombé dans le piège...
notre propre gouvernement qui agit comme un voleur... on viendra encore nous dire que le gouvernement respecte son peuple !!!
Moi je pense que les aspirateurs de sites ninteresse pas vraiment les progeurs ou les crackers paske cette idee de faire un faux lien existe quand meme depuis lomgtemps donc je pense que si on avait vraiment voulu le faire yaurai eu un vrai moyen de contrer cette parade mais ma reflexion na rien avoir avec lauteur de cette source soit dites en passant très bien.
Voici donc qu'un moteur d'indexation "slurp" (altavista) est tombé dans le piège en ignorant le contenu de "robots.txt"...
Il faut donc qu'à chaque blocage de IP je fasse une recherche sur le propriétaire du IP pour savoir si oui ou non il s'agit d'un robot d'indexation ou un salaud de voleur de fichiers...
Pourquoi les robots indexeurs ne sont pas assez intelligents pour suivre les directives spécialement conçu pour eux ???
J'ai particulièrement remarqué l'entêtement de Altavista de référencer des pages interdites avec la norme "noindex, nofollow" et le fameux fichier "robots.txt"...
Je ne crois pas que ce soit rendre service aux webmasters que de se foutre de la programmation destinée spécifiquement aux robots... :-(
Le script est en fonction depuis seulement 2 jours et déjà il a intercepté et bloqué des IP's !!!
Fait particulier, j'ai un espion cgi sur mon site qui retourne un email et des détails sur les visiteurs... eh bien, les IP's bloqués ne m'ont rien retourné du tout... ce qui prouve que les voleurs n'ont jamais été sur mon site,mais qu'ils sont emtré l'adresse directement dans leur aspirateur... si leur but n'est pas du "denial", je me demande bien ce que c'est...
Grâce à ce script anti-aspirateur, ces cyber-voleurs devront aller voir ailleurs :-b
je réussis à avoir les IP's d'enregistrés dans matable mysql, mais la page secure.php me donne systématiquement la page de banissement même si mon ip n'est pas banni...
Pourquoi ???
je ne peux mettre secure.php en include sur mes pages avec cette erreur sinon personne ne verra autre chose que la page de bannissement :-(
C'est le dernier astuce à corriger (J'espère)... après c'est les vacances !!! (façon de parler) :-)
il y a des étapes qui sont sautées... c'est évident...
il saute tout de suite à la redirection vers ma page de banissement...
il ne vérifie rien du tout...
voici le contenu de mon fichier ban.php... qui doit bannir les aspirateurs...
contient-il une erreur ???
<?php
//parametre de connection a la base de données
$host="localhost";
$user="username";
$pass="password";
$name="nom de la table mysql";
//email de l'administrateur du site
//(permet de prevenir l'administrateur de toute
// action anormale de la part d'un utilisateur)
$email="Aspirateur@123.com";
//recuperation de la date systeme
$date = date("Y/m/d H:i");
//recuperation de l'ip du client
$ip = $HTTP_SERVER_VARS["REMOTE_ADDR"];
//connection a la base de données
$dbic = mysql_connect($host,$user,$pass);
//selection de la base de données
mysql_select_db($name);
// on insere l'ip du client dans la table des ip bloqué
mysql_query("INSERT into ban (id, ip, date) values ('', '$ua', '$ip', '$date')");
mail($email, "[IP Interdite] $ip - $date", "","from: Administrateur@".$HTTP_SERVER_VARS["HTTP_HOST"]);
//en envoie la page ban.html au client
include ($HTTP_SERVER_VARS["DOCUMENT_ROOT"]."/Forbidden.php");
// on ferme le script sans afficher le reste de la page demander
die("");
mysql_close($dbic);
?>
derniere petite chose je pense quil fodrai cree un petit script executable a partir de ta page d'administration qui te permette de supprimer tte les ips au dela d'une semaine, car les ips sont dynamiques sur le net et se serai domge qu'un utilisateur a qui on est attribue une ip bannie ne puissent pas acceder au site
Le remplacement de "echo" par print à améliorer les choses...
les erreurs warnings indique "Not database selected"...
il faudrait alors me dire comment créé cette "database" qui doit s'appeler "Secure_IP"...
C'est une table mysql ???
on approche de la fin... on cerne le problème petit à petit...
il faut juste tout savoir ce que le script a besoin pour fonctionner et comment faire exactement chacun de ces besoins...
En fait, PHP affiche une erreur avec l'instruction "... or echo 'message';", alors que ca marche avec "... or print('message');". Voila pourquoi je change les echo en print. (Pour info, j'utilise exclusivement des echo dans mes scripts).
Pardon, le problème vient de ma part. Remplace echo par print( ..... )
Cette commande te premettra d'afficher un message d'erreur expliquant l'erreur sql.
non mais en fait ton pb vient pas la.....
une erreur "supplied argments" ca veut dire que l'argument que tu as passer n'est pas le bon...autrement que le "type" de l'argument ne lui convient (en l'occurence...c pas un bon format de reponse mysql)
et cette erreur n'apparait QUE lorsque la connexion ne s'est pas établi....des que ej rentre ce soir je t'enverrai un code pourverifier si tu t'es bien connecté a ta base
@+
pyranhaz, en fait, ton erreur ne vient pas des scripts.
En fait, Secure_IP n'est pas une table, mais la base de données. Tu peux créer la table ban utilisée par le script ainsi :
CREATE TABLE ban (
id int(11) NOT NULL auto_increment,
ip varchar(15) NOT NULL default '',
date date default NULL,
PRIMARY KEY (id)
);
J'espère qu'il n'y aura plus d'erreur.
Les adresses IP se mettent dans cette table, ban.
On peut modifier une adresse MAC ???
on m'a tjrs dit le contraire...
il me semblait que c'était l'identifiant du modem chez le fournisseur et que par conséquent était inchangeable...
Mais si on le change le fournisseur ne nous reconnaît plus, donc plus de service ou Internet gratuit ???
Merci pour ton code de correction, j'essai cela à l'instant...
P.S
les IP's bannis se retrouvent où au juste (la liste) car si je me bloque en faisant des tests, je veux pouvoir me débloquer ou encore faire le ménage des IP's à tous les mois... si je me fie à mysql (dont je maîtrise mal son fonctionnement) où est-ce que je devrais voir cette liste enregistrée et comment je fais pour la voir ???
En fait, on peut très bien modifier son adresse MAC, et sans avoir besoin de redémarrer le poste ou la connection Internet. Mais, les adresses MAC ne fonctionnent que si on utilise des cartes Ethernet pour se connecter (pas de RTC).
Adresse MAC ne signifie pas Macintosh (pour ronanry).
Pour des corrections à apporter :
if ($ic <> 0)
{
// chercher si le visiteur est interdit
$res = mysql_query("SELECT ip FROM ban WHERE ip='$ip'");
while(list($ip) = mysql_fetch_row($res))
{
// Visiteur trouvé dans les IP interdites
//liberation du resultat de la requette
mysql_free_result($res);
//fermeture de la connection a la base de données
mysql_close($ic);
//en envoie la page ban.html au client
include ($HTTP_SERVER_VARS["DOCUMENT_ROOT"]."ban.html");
// on ferme le script sans afficher le reste de la page demander
die("");
}
mysql_free_result($res);
mysql_close($ic);
}
?>
En fait, il faut garder l'accolade ouvrante en dessous de "if ($ic <> 0)", mais il faut en rajouter une fermante avant le ?>
Cette correction devrait régler ton problème pyranhaz.
Pour que les robots ne tombent pas dans le piège, ne serait-il pas aussi simple que d'ajouter les 2 fichiers;
- ban.php
- secure.php
dans le fichier robots.txt comme étant disallow ???
puisque la plupart des aspirateurs n'en tiennent pas compte (leur but étant de faire tout le contraire demandé par le webmaster)...
Et soi du temps passant, je n'ai toujours pas trouver de solution à mes erreurs warning... tout fonctionne, sauf ce détail...
sûrement un problème dans mysql, même si je me connecte sans problème à la base... il semble que ce soit au niveau des enregistrements des résultats que ça fou le bordel car mysql n'enregistre rien du tout...
je maîtrise très mal mysql et ronanry n'a pas terminé de donner son cours, alors je sais faire une table mysql, mais je ne sais pas la faire fonctionner car on a pas testé ce détail important... je lance le message au cas ou qq un voudrait m'aider à terminer mon apprentissage avec mysql...
a vrai dire jai develloper cela pour ma boite , c un site intranet qu'il ont donc le pb des adresse ip ne se pose pas tt les poste sont sous windows et chaque poste a son ip.
sinon pour les docs ben en fait c du pdf et iexplore les ouvres grace a l'activex meme si l'utilisateur peut recuperez doc par doc (ce qui me semble difficile a empecher) ben il va se faire chiez a recuperer les 3000 docs....donc il va etre attire par la solution de facilite c a d l'aspirateur, et la a la premiere tentative ben il saute...:)
c vrai que ce script convient parfaitement dons mon cas mais pour internet fodrai pousser plus loin, par exemple bannir directement les adresse MAC des cartes reseaux... ou un truc du style
a vrai dire jai develloper cela pour ma boite , c un site intranet qu'il ont donc le pb des adresse ip ne se pose pas tt les poste sont sous windows et chaque poste a son ip.
sinon pour les docs ben en fait c du pdf et iexplore les ouvres grace a l'activex meme si l'utilisateur peut recuperez doc par doc (ce qui me semble difficile a empecher) ben il va se faire chiez a recuperer les 3000 docs....donc il va etre attire par la solution de facilite c a d l'aspirateur, et la a la premiere tentative ben il saute...:)
c vrai que ce script convient parfaitement dons mon cas mais pour internet fodrai pousser plus loin, par exemple bannir directement les adresse MAC des cartes reseaux... ou un truc du style
le principe du marqueur est bon sauf que comme dit plus haut les robots vont aussi tomber dans le panneau donc dans ban. php faudrait essayer de detecter le robot et de le laisser faire . Il y as une source ici qui le fait (detecter le robot).
de plus à chaque page tu tapes dans la base de donnée :-~ , le visiteur qui aspire le site peut plus y revenir et en plus comme "à priori" il as pas une adresse ip fixe, le prochain qui la recupere ne vient plus chez toi . peut etre voir avec les sessions ou un systeme de cache à durée de vie faible. ca tapes plus dans la base de données et c'est temporaire.
sinon j'ai vu une idée sympa : au lieu de se faire aspirer le site parce que le contenu est bon pourquoi pas proposer la doc en zip ?
dsl c la premiere source que je poste ici je les ai pas toute matter :)
sinon pyranhaz il faut bien entendu mettre ce script (combine a d'autre pkoi pas du types test du nb de requette/min d'un client ) au debut de chaque page que tu souhaite securiser :)
c'est que je désire vraiment avoir un anti-aspirateur fonctionnel sur mon site...
J'ai réussis à me débuguer en partie en changeant certains paramètres dont ceux de la connexion mysql...
pour ma part il faut inscrire;
$host="path_server";
$user="username";
$pass="passe";
$base="Secure_IP";
ensuite il y a une { qu'il a fallu supprimer à l'endoit où le script "secure.php" dit:
"if ($ic <> 0)
{"
Finalement il me reste deux erreur warnings à régler...
Elles disent exactement problème avec la ligne 33 et 38 (supplied argument is not valid MYSQL result resource)
dans ma table mysql qui s'appel "Secure_IP" tel que précisé dans le script, j'ai mis 3 colonnes;
1) id+INT+auto_increment+primaire
2) ip+TEXT
3) date+DATETIME
avec ces infos, pouvez-vous me dire où es mon problème de warning svp ???
Primo cette source n'est absolument pas commentée!! Alors bonjour pour ceux qui s'y connaissent myennement.
Et en plus je viens juste de la tester et KEDAL! C'est du flanc!
(j'ai remplit le script comme """indiqué"""")
A déconseiller!
Je vois que se script fonctionne bien pour tous le monde surtous sur des page PHP ! mais peut il foctionné sur une page ASP ?
Pazouni donadoni !
de mon côté c'est juste une protection supplémentaire...
J'utilise les sessions php qui a elles seules font déjà un bon boulot de protection... sans compter mes filtres de navigateur et http_referrer, le cryptage de scripts javascript... etc. mais faut quand même pas en devenir dingue et je crois que ça sera suffisant pour le moment...