cs_stay
Messages postés493Date d'inscriptionjeudi 7 juillet 2005StatutMembreDernière intervention24 mai 2017
-
30 janv. 2013 à 09:19
tyranausor
Messages postés3545Date d'inscriptionjeudi 6 août 2009StatutMembreDernière intervention 1 avril 2022
-
18 avril 2019 à 16:00
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
tyranausor
Messages postés3545Date d'inscriptionjeudi 6 août 2009StatutMembreDernière intervention 1 avril 20221 18 avril 2019 à 16:00
Bonjour, ton système d'administration est très simple comme ça mais quand on lit le code, tu t'es compliqué la vie et il n'est pas franchement simple. Tu utilises des fonctions (mysqli) qui ne sont plus pris en charge par des nouvelles versions de php
cavalier2400
Messages postés120Date d'inscriptionmardi 8 juillet 2008StatutMembreDernière intervention 1 décembre 20101 9 avril 2013 à 10:47
Bonjour, je débute en php...
Merci pour votre poste, mais je n'arrive pas à trouver mon adresse de la BDD, j'imagine qu'elle se trouve chez mon hébergeur de site, je travail avec phpMyAdmin, qui répond à mes besoin... mais je cherche à utiliser une interface plus simple. Pour me connecter il y'a 4 paramètres:
Sur la première ligne 3 ("1","2","3"); et sur la
2ème ligne 1 seul paramètre, es-ce que c'est pour le 4ème paramètre c'est toujours localhost.
Merci votre aide.
cs_stay
Messages postés493Date d'inscriptionjeudi 7 juillet 2005StatutMembreDernière intervention24 mai 20174 2 févr. 2013 à 12:04
Je comprend et je te remercie de ta patience ! Je vais suivre ton conseil ! Bonne continuation
cs_stay
Messages postés493Date d'inscriptionjeudi 7 juillet 2005StatutMembreDernière intervention24 mai 20174 2 févr. 2013 à 02:08
Salut, je ne veux pas être négatif mais même un débutant ne va pas trouver ton code intéressant car tu utilises des méthodes rudimentaires.
Donc, tu peux modifier le code initial pour le faire évoluer; mais le laisser tel-quel et ajouter des nouvelles fonctions, tu vas rien récupérer de positif.
C'est du temps gâché. Cela dépend de tes motivations bien-sûr.
Par contre, il y a des tuto proposés sur le site de phpcs.
Moi à ta place, je commencerai par là.
Tu pourras revenir par la suite avec des idées plus fraiche.
Je te remercie d'avance pour ta réponse si vite apprécié ! Mon système, qui je dois le reconnaitre, n'a pas encore d'option supprimer ou éditer ! Je doit avouer que je ne me suis pas intéresser tout de suite à ce sujet même si mes connaissance débutants sont quelques avancés (peut-être pas dans l'art de la sécurisation !). Pour répondre à ta question, que tu attend avec impatience, pour moi un article est un groupement contenant ("un titre,une date d'édition,un contenu,...") comme l'on peut trouver sur un blog. Voilà, je n'est rien d'autres à dire à ce sujet. Pour en revenir à l'autre problème (Edition/Suppression) je m'y pencherait surement dans les jours à venir si le temps me le permet.
Cordialement.
cs_stay
Messages postés493Date d'inscriptionjeudi 7 juillet 2005StatutMembreDernière intervention24 mai 20174 31 janv. 2013 à 20:53
Salut, donc, "J'ai une question", je voulais dire que j'avais une question (à la quel tu n'as pas répondu).
Par la suite, "en faite il y en aurait une dix-saine avant celle-ci", donc, que j’aurai pu en poser d'autres avant.
Et "du genre", dans le genre quoi.
Et la question que tu n'as pas répondu; c'est quoi pour toi un article ?
Et oui, car pour moi un article qui est un produit est un article qui fait partie d'un catalogue.
Donc, parent, enfant et peut-être sous article.
Comme je sais que la majorité des débutant aime parler uniquement du code, sinon tu aurais compris ma question, voici une liste de sous-articles généré à la volée.
Exemple :
J'imagine que cela te parle beaucoup plus ?
Ou bien un article de blog, appartenant à une seul catégorie.
Sinon, il y a aussi Ma question, pour supprimer ou éditer *...
Si tu préfères, on peut rebondir sur ce que emilia123 à dit ?
Ou même, parler de Wordpress pour tes amis désespérer.
A toi de choisir, la balle est dans ton camp et je te promets de ne pas me moquer.
Si tu ne me pose plus de question pour détourner l'attention sur autre chose.
Tout d'abord merci pour vos remarques très pertinente ! Je tient à préciser que vous pourriez surement trouver mon niveau de codage à la limite du ridicule et que j'ai sans doutes surestimer mes compétence à ce niveau. Je tient à dire aussi que ce projet a était réalisé dans le but d'aider certains/certaines débutant(e)s cherchant désespérément un système d'administration pour leurs articles (Évidemment, il y en a 10x mieux que le miens). Par la suite, je l'est aussi posté pour qu'on me critique et que j'essaie d'améliorer mon système notamment comme la sécurité qu'a évoquer emilia123. Je l'améliorait par la suite...
PS: STAY ! Je n'est pas compris ce que tu voulais dire au sujet de : "J'ai une question, en faite il y en aurait une dix-saine avant celle-ci du genre, c'est quoi un article pour toi." ??
cs_emilia123
Messages postés122Date d'inscriptionmercredi 19 décembre 2001StatutMembreDernière intervention 5 janvier 2009 31 janv. 2013 à 10:55
Bonjour,
Effectivement, cette source n'est malheureusement pas du niveau "initié".
Elle comporte des problèmes de sécurité et ne devrait donc pas être utilisée.
Problème SQL :
fichier systeme/script/envoi.php :
------------------------------------
$sql="INSERT INTO ".$bdd." (".$cols.") VALUES ('$titre','$text','$page') ";
------------------------------------
Aucune sécurisation n'est faite sur les variables ($titre, $text, $page) avant de les insérer dans la requête SQL.
En utilisant la bonne écriture, il est facile pour un attaquant de travailler directement sur ta base de donnée (insertion de donnée, création de table, suppression de données/tables, etc...).
Il FAUT TOUJOURS (majuscule, gras, souligné, couleur rouge) sécuriser les variables reçues d'un internaute en la passant par des fonctions du type :
mysql_real_escape_string(...) (dans le cadre de l'utilisation de mysql).
Problème fonctionnel :
fichier systeme/script/envoi.php :
------------------------------------
extract($_POST) ;
------------------------------------
il ne FAUT PAS (majuscule, gras, souligné, couleur rouge) utiliser ce type de fonction.
Dans ton script, si tu as une variable sensible (ex : gestion des droits d'accès) et que tu as oublié de l'initialiser, la présence de la fonction "extract" permet à un attaquant de l'initialiser à ta place... et donc de prendre le contrôle de ton script.
C'est à toi de savoir quelles sont les variables à récupérer et de les récupérer directement à la source ($_POST)...
Bonne continuation
EM.
alfrai
Messages postés69Date d'inscriptionmardi 11 avril 2006StatutMembreDernière intervention23 juillet 2013 31 janv. 2013 à 09:54
Je suis encore un débutant, merci pour la source !
cs_stay
Messages postés493Date d'inscriptionjeudi 7 juillet 2005StatutMembreDernière intervention24 mai 20174 30 janv. 2013 à 09:19
Salut, tu t'es trompé. tu as mis, Niveau :Initié.
J'ai une question, en faite il y en aurait une dix-saine avant celle-ci du genre, c'est quoi un article pour toi.
Ma question, pour supprimer ou éditer un article, qu'est-ce-que tu as prévu ?
18 avril 2019 à 16:00
9 avril 2013 à 10:47
Merci pour votre poste, mais je n'arrive pas à trouver mon adresse de la BDD, j'imagine qu'elle se trouve chez mon hébergeur de site, je travail avec phpMyAdmin, qui répond à mes besoin... mais je cherche à utiliser une interface plus simple. Pour me connecter il y'a 4 paramètres:
Sur la première ligne 3 ("1","2","3"); et sur la
2ème ligne 1 seul paramètre, es-ce que c'est pour le 4ème paramètre c'est toujours localhost.
Merci votre aide.
2 févr. 2013 à 12:04
Stéphane
2 févr. 2013 à 10:08
2 févr. 2013 à 02:08
Donc, tu peux modifier le code initial pour le faire évoluer; mais le laisser tel-quel et ajouter des nouvelles fonctions, tu vas rien récupérer de positif.
C'est du temps gâché. Cela dépend de tes motivations bien-sûr.
Par contre, il y a des tuto proposés sur le site de phpcs.
Moi à ta place, je commencerai par là.
Tu pourras revenir par la suite avec des idées plus fraiche.
Bien à toi
1 févr. 2013 à 21:21
Cordialement.
31 janv. 2013 à 20:53
Par la suite, "en faite il y en aurait une dix-saine avant celle-ci", donc, que j’aurai pu en poser d'autres avant.
Et "du genre", dans le genre quoi.
Et la question que tu n'as pas répondu; c'est quoi pour toi un article ?
Et oui, car pour moi un article qui est un produit est un article qui fait partie d'un catalogue.
Donc, parent, enfant et peut-être sous article.
Comme je sais que la majorité des débutant aime parler uniquement du code, sinon tu aurais compris ma question, voici une liste de sous-articles généré à la volée.
Exemple :
<?php
Articles::$num = 1;
Articles::addParams(array('t-shirt','sweat-shirt'));
Articles::addParams(array('s','m','l','xl'));
Articles::addParams(array('blue','green'));
$articles = new Articles;
echo '';
print_r($articles->generateArticles());
echo '
';
$articles->ressetParams();
Array
(
[0001] => t-shirt-s-blue
[0002] => t-shirt-s-green
[0003] => t-shirt-m-blue
[0004] => t-shirt-m-green
[0005] => t-shirt-l-blue
[0006] => t-shirt-l-green
[0007] => t-shirt-xl-blue
[0008] => t-shirt-xl-green
[0009] => sweat-shirt-s-blue
[0010] => sweat-shirt-s-green
[0011] => sweat-shirt-m-blue
[0012] => sweat-shirt-m-green
[0013] => sweat-shirt-l-blue
[0014] => sweat-shirt-l-green
[0015] => sweat-shirt-xl-blue
[0016] => sweat-shirt-xl-green
)
J'imagine que cela te parle beaucoup plus ?
Ou bien un article de blog, appartenant à une seul catégorie.
Sinon, il y a aussi Ma question, pour supprimer ou éditer *...
Si tu préfères, on peut rebondir sur ce que emilia123 à dit ?
Ou même, parler de Wordpress pour tes amis désespérer.
A toi de choisir, la balle est dans ton camp et je te promets de ne pas me moquer.
Si tu ne me pose plus de question pour détourner l'attention sur autre chose.
31 janv. 2013 à 18:57
PS: STAY ! Je n'est pas compris ce que tu voulais dire au sujet de : "J'ai une question, en faite il y en aurait une dix-saine avant celle-ci du genre, c'est quoi un article pour toi." ??
31 janv. 2013 à 13:23
31 janv. 2013 à 10:55
Effectivement, cette source n'est malheureusement pas du niveau "initié".
Elle comporte des problèmes de sécurité et ne devrait donc pas être utilisée.
Problème SQL :
fichier systeme/script/envoi.php :
------------------------------------
$sql="INSERT INTO ".$bdd." (".$cols.") VALUES ('$titre','$text','$page') ";
------------------------------------
Aucune sécurisation n'est faite sur les variables ($titre, $text, $page) avant de les insérer dans la requête SQL.
En utilisant la bonne écriture, il est facile pour un attaquant de travailler directement sur ta base de donnée (insertion de donnée, création de table, suppression de données/tables, etc...).
Il FAUT TOUJOURS (majuscule, gras, souligné, couleur rouge) sécuriser les variables reçues d'un internaute en la passant par des fonctions du type :
mysql_real_escape_string(...) (dans le cadre de l'utilisation de mysql).
Problème fonctionnel :
fichier systeme/script/envoi.php :
------------------------------------
extract($_POST) ;
------------------------------------
il ne FAUT PAS (majuscule, gras, souligné, couleur rouge) utiliser ce type de fonction.
Dans ton script, si tu as une variable sensible (ex : gestion des droits d'accès) et que tu as oublié de l'initialiser, la présence de la fonction "extract" permet à un attaquant de l'initialiser à ta place... et donc de prendre le contrôle de ton script.
C'est à toi de savoir quelles sont les variables à récupérer et de les récupérer directement à la source ($_POST)...
Bonne continuation
EM.
31 janv. 2013 à 09:54
30 janv. 2013 à 09:19
J'ai une question, en faite il y en aurait une dix-saine avant celle-ci du genre, c'est quoi un article pour toi.
Ma question, pour supprimer ou éditer un article, qu'est-ce-que tu as prévu ?