IMAGE CRYPTÉE DE PROTECTION POUR FORMULAIRE WEB

 MAJ 23/06/03
Suite à une remarque de Nova, voila le code source des fichiers ainsi que la méthode pour intégrer çà dans un formulaire existant. En téléhcargeant le zip, vous avez l'avantage d'avoir un exemple tout pret :D mais peut être plus difficile à réutiliser pour les débutants

Fichier crypt.php
------------------------

<?
// -------------------------------------------------------
// Image cryptée de protection pour formulaire web
// -------------------------------------------------------
// Permet d'éviter les requêtes automatisées, qui
// aboutissent à un ralentissement du serveur et à
// l'engorgement de la base de données
// -------------------------------------------------------
// © 2003 - Mathieu Rey <matreypub@hotmail.com>
// -------------------------------------------------------

require("./functions.php");

// Si le numéro de session est indiqué
if ($session!=""){
 // Connexion BDD
 $db = mysql_connect($serveur_mysql, $login_mysql, $pass_mysql);
 mysql_select_db($base_mysql,$db);
 // Lancement de la requete
 $query = mysql_query("SELECT * FROM $table_mysql WHERE session = '$session'");
 $row = mysql_fetch_row($query);
 // Si la session est effectivement valable
 if ($row[2]!=""){
  // Créer l'image avec le code
  CreateImage($row[2]);
 }
}
?>


Fichier functions.php
------------------------------

<?
// -------------------------------------------------------
// Image cryptée de protection pour formulaire web
// -------------------------------------------------------
// Permet d'éviter les requêtes automatisées, qui
// aboutissent à un ralentissement du serveur et à
// l'engorgement de la base de données
// -------------------------------------------------------
// © 2003 - Mathieu Rey <matreypub@hotmail.com>
// -------------------------------------------------------

# -------------INFOS DE CONNEXION A MYSQL------------- #
$serveur_mysql = "localhost";
$login_mysql = "root";
$pass_mysql = "";
$base_mysql = "test";
$table_mysql = "codes";
# ---------------------------------------------------- #

# ---------------DUMP DE LA TABLE MYSQL--------------- #
/*
CREATE TABLE codes (
  id tinyint(4) NOT NULL auto_increment,
  session text NOT NULL,
  code text NOT NULL,
  now text NOT NULL,
  PRIMARY KEY  (id,id)
) TYPE=MyISAM;
*/
# ---------------------------------------------------- #

# Crée un code suivant le sid #
function CreateSession($session){
 // Création d'un code à 6 chiffres
 $code = substr(md5(time().time()), 0, 6);
 // Création d'un identifiant de temps
 $now = time();
 // Enregistrement dans la base de données
 $db = mysql_connect($serveur_mysql, $login_mysql, $pass_mysql);
 mysql_select_db($base_mysql,$db);
 $query = mysql_query("INSERT INTO $table_mysql VALUES('','$session','$code','$now')");
}

# Génère un image contenant le code #
function CreateImage($code){
 // Définition des dimensions
 $img = imagecreate(72, 25);
 // Défintion des couleurs
 $bgc = imagecolorallocate($img, 255, 255, 255);
 $black = imagecolorallocate($img, 0, 0, 0);
 $gris = imagecolorallocate($img, 128, 128, 128);
 // Remplissage du fond
 imagefilledrectangle($img, 0, 0, 72, 25, $bgc);
 // Ecriture du code (le premier 5 est la taille - de la police par défaut - la plus grande dans GD)
 // Ca évite d'avoir à installer FreeType, librairie qui ajoute le support des polices TrueType
 imagestring($img, 5, 12, 5, $code, $black);
 // Ajout d'un bruit
 for($i=0;$i<150;$i++) {
  imagesetpixel($img, rand(0,72), rand(0,25), $gris);
 }
 // Crétion de l'entête
 header("Expires: Mon, 26 Jul 1997 05:00:00 GMT"); 
 header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT"); 
 header("Cache-Control: no-store, no-cache, must-revalidate"); 
 header("Cache-Control: post-check=0, pre-check=0", false);
 header("Pragma: no-cache");
 // Création de l'image (qualité 15% : très médiocre)
 imagejpeg($img, '', 15);
 imagedestroy($img);
}
?>

A faire maintenant :
 1. Configurez le fichier "functions.php"
 2. Executez le dump dans MySQL
Puis...

A ajouter dans votre formulaire, au niveau de l'affichage des champs
--------------------------------------------------------------------------------------------------

require("./functions.php");

// Affichage code + formulaire
$session = md5(time());
$numero = CreateSession($session);
?>
<table border="0" cellspacing=0 cellpadding=3 bgcolor="#FDF1D5">
<tr>
<td colspan="2" bgcolor="#87D118"><font size="2"
face="Verdana"><strong>Vérification d'authenticité</strong></font></td>
</tr>
<tr>
<td width="60%"><font size="2" face="Verdana">Pour
garantir la sécurité de notre base de données, nous
vous demandons de bien vouloir recopier le code (à
droite) dans la zone de texte.<br>
Ce code est une image qui ne peut être lue par une
machine. Cela permet d'éviter que des programmes
automatiques ne submergent le serveur par leurs requêtes.</font></td>
<td width="40%"><p align="center">
<input type=hidden name=sid value=<? echo $session; ?>><font size="2"
face="Verdana">Votre code est :<br>
<img src=crypt.php?session=<? echo $session; ?>></font></p>
<p align="center"><font size="2" face="Verdana">Tapez
votre code ici :<br>
<input type=text name=code>
</font></p>
</td>
</tr>
</table>


A ajouter dans votre formulaire, au niveau du traitement des données reçues
--------------------------------------------------------------------------------------------------------------

require("./functions.php");

// Validation du code
if ($sid=="" OR $code == ""){
 // Manque des éléments
 echo "<script language='JavaScript'>window.alert('Vous n\'avez pas rempli tous les champs !');history.go(-1);</script>";
 exit();
}
// Connexion BDD
$db = mysql_connect($serveur_mysql, $login_mysql, $pass_mysql);
mysql_select_db($base_mysql,$db);
// Lancement requete
$query = mysql_query("SELECT * FROM $table_mysql WHERE session = '$sid'");
$row = mysql_fetch_row($query);
if ($row[2]=="" or $row[2]!=$code){
 // Code non valide
 echo "<script language='JavaScript'>window.alert('Code incorrect !');history.go(-1);</script>";
 exit();
}else{
 // Code valide
 // -----------
 // Bien sur, si le code est correct, remplacez le message d'information par 
 // la suite du traitement du formulaire. 
 echo "<script language='JavaScript'>window.alert('Code correct !');</script>";
}


A ajouter dans votre formulaire, au niveau du traitement des infos recues, après avoir effectué toutes les vérifications
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

// Suppression
// -----------
// /!\ Ne supprimez l'enregistrement de la base de données que lorsque aucun erreur 
// ne peut plus avoir lieu (car si une info manque et que le code a déjà été supprimé 
// de la base, la revalidation du formulaire échouera)
$query = mysql_query("DELETE FROM $table_mysql WHERE session = '$sid'");

Voila !
Si vous avez un quelconque problème avec ce script, n'hésitez pas à le dire !