ESPACE ADMIN SIMPLE

Commentaire de Waredan le 18/01/2010 12:13:53

C'est du déjà vu et très mal codé..

- Utilises de simple guillemet '' à la place de double guillemet "";
- N'utilises pas les balises courtes d'ouverture de PHP "<?" mais les longues "<?php";
- Ne mets pas de parenthèses aux fonctions "include", "include_once", "require" et "require_onc";
- Un fichier (X)HTML valide pour l'exemple, c'est mieux ..;
- Vérifies toujours les données provenant d'une URL "$_GET" ou d'un formulaire "$_POST", tu peux utiliser les fonctions "filter" natives à PHP > 5, http://fr.php.net/manual/fr/ref.filter.php;
- N'utilises pas de fonctions obsolètes qui vont être supprimées avec PHP6 "session_unregister("current")" mais plutôt "isset($_SESSION[$current])"
- Pour vérifier s'il y a une erreur ou non, passer ce paramètre en URL est du suicide ! Vérifies juste la présence par exemple du nom d'utilisateur dans les sessions, que se passe-t-il si dans mon url je mets erreur=1 alors qu'il y'a effectivement des erreurs.. rien.. de plus, le nom est mal choisit (mais ça, c'est du chipotage);
- Enfin, ne fermes pas les balises php lorsqu'elles sont à la fin d'une page, ça t'éviteras d'envoies de données (genre tu veux faire un appel à la fonction header, mais tu as malencontreusement mis un espace après la fermeture de ton tag "?>" qui affiche à l'écran des données => erreur.

Commentaire de neigedhiver le 18/01/2010 13:18:31

Salut,

En plus de ce que Waredan souligne, ce n'est pas sécurisé du tout :

[code=php]$passe=$_POST['password'];[/code]
puis
[code=php]$query ="select * from user where login = '$login' and passe = '$passe'";[/code]

=> les variables $login et $passe ne sont pas protégées contre les attaques par injection de code
=> je déduis que dans la base de données, les mots de passes sont en clair...

Tu dis
[quote]c'est un script pour protéger l'espace admin très simple a utilisé[/quote]
C'est faux et c'est même tout le contraire : tu fournis une page HTML conforme à aucune standard (même pas HTML 1 puisque tu ne déclares aucun DOCTYPE, ne te réfères à aucune DTD) qui est très difficile à intégrer (pour ne pas dire impossible) sans y effectuer des tonnes de modifications (disons même sans réécrire tout le code). Ce n'est pas ce que j'appelle "simple à utiliser". En plus ce ça, la gestion des erreurs est plus que rudimentaire (à peine acceptable pour du debug local).

Bref. Désolé, à mon sens, il y a beaucoup de choses à revoir.

Commentaire de mousaid_88 le 19/01/2010 22:10:32

merci pour vos commentaire je suis pas trop fort en php. je tacherais de coriger les faute.

Commentaire de djmmix le 25/01/2010 09:19:10

"le code n'est pas de tout sale, au contraire il est propre, clair et facile a comprendre.
".

pas sales as tu bien regarder .....

et non regarde toutes ces pages tu vera qu'il ne respecte pas le standard.

Commentaire de mnouzahir le 25/01/2010 10:26:38

j'essaye pas de le "protéger" de la façon dont tu pense JADU, mais je crois que vraiment qu'il y a des phrases décourageante à part les commentaires de Waredan qui sont bien précis.

moi aussi je t'encourage mousaid_88 à présenter tes sources dans ce site :)

Commentaire de Waredan le 26/01/2010 12:43:53

Pour les simples quotes plutôt que les doubles, c'est une question de performance.

Pour les parenthèses, include() est une structure de langage particulière, les parenthèses ne sont pas nécessaires autour de l'argument mais si elles sont présentes, elles changent la valeur retournée par l'inclusion (tout comme la fonction return()).

cf. http://php.net/manual/fr/function.include.php

<?php
// Ne fonctionne pas, évaluer comme include(('vars.php') == 'OK'), i.e. include('')
if (include('vars.php') == 'OK') {
    echo 'OK';
}

// Fonctionne
if ((include 'vars.php') == 'OK') {
    echo 'OK';
}

Commentaire de abdoulax le 27/01/2010 12:00:07

Voici un lien intéressant qui va te donner des idées sur la manière de coder. Attention, ce sont les normes pour le Zend Framework, il n'y a aucune obligation de les suivre. Cependant je pense qu'il y a vraiment de bonne chose à retenir...

http://framework.zend.com/manual/fr/coding-standard.coding-style.html

Have fun ;)