Discussion :

[TobiCar]

Bonjour à tous !
Je ne sais pas si je suis sur le bon forum, mais étant donnée que c'est du PHP que je dois utiliser pour ça...

Bon j'ai besoin de votre aide sur un petit point auquel je bloque et ne trouve pas de "solution".
En faite je suis entrain de créer une plate-forme colaborative pour ma section de BTS. Dans cette plate forme des authentifications seront nécessaire. Mon souci est que je voudrais que dans la barre URL s'affiche un lien identique à cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://plateforme/auth/panel.php?panel=<nom_utilisateur_connecté>

Et c'est ce

?panel=<nom_utilisateur_connecté>

que je n'arrive pas a faire afficher et surtout faire changer le nom de l'utilisateur en fonction de celui qui est connecté"

Merci d'avance à ceux qui peuvent m'aider !

[iakou]

Bonjour.

Je pense que "<" et ">" sont des caractères spéciaux.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$chaine = "http://plateforme/auth/panel.php?panel=<nom_utilisateur_connecté>" ;
$url = urlencode($chaine) ;

Quant à l'utilisateur connecté, votre transaction doit auparavant :

- récupérer cette variable quelque part ?...
- puis la placer dans $chaine.

[TobiCar]

Tout d'abord merci de me répondre

Je pense que "<" et ">" sont des caractères spéciaux.

Oui ça ok, mais j'ai du ma m'exprimé, "<" et ">" je ne veux pas qu'ils soient affiché dans le lien. Ca serait plutôt du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://plateforme/auth/panel.php?panel=tobicar

Quant à l'utilisateur connecté, votre transaction doit auparavant :

- récupérer cette variable quelque part ?...
- puis la placer dans $chaine.

Alors oui je récupère à un moment l'utilisateur connecté.

Donc si je fais ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$chaine = "http://plateforme/auth/panel.php?panel=$_SESSION['login']" ;
$url = urlencode($chaine) ;

Cela fonctionnerait ?

[iakou]

Oui !
Car les doubles quotes permettent en PHP l'utilisation des variables directement dans une chaine de caractères. Mais vous auriez pu aussi utilisez la concaténation avec le caractère "."
Par ailleurs, vous n'avez plus besoin de "urlencode()" puisqu'il n'y aura plus de caractère spécial dans $chaine.
Cdlt

[ABCIWEB]

Salut,

Tu n'as pas forcément besoin d'utiliser urlencode si $_SESSION['login'] ne contient pas de caractères spéciaux. Sinon il est recommandé de n'utiliser cette fonction que sur la (ou les) variable, soit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"http://plateforme/auth/panel.php?panel=".urlencode($_SESSION['login'])

[TobiCar]

Ok,

Mais actuellement mon url ressemble à ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://localhost/appli/panel.php

Comment je fais pour qu'elle devienne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://localhost/appli/panel.php?panel=tobicar

J'ai juste à indiquer la nouvelle adresse dans la variable $url et mon adresse sera modifiée ?

[ABCIWEB]

A la fin de ton formulaire d'authentification tu fais une redirection du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
header("Location:panel.php?panel=".urlencode($_SESSION['login']));
exit;

[TobiCar]

Super j'ai compris et ca fonctionne ! Encore merci !
Mais j'ai une dernière question.

Comme je l'ai dit je suis entrain de créer une plate-forme collaborative entre professeurs et élèves pour la gestion des stages en entreprise. Les professeurs auront besoins d'une authentification pour avoir accès aux différentes actions possibles. En revanche les élèves n'aurons pas d'authentification.

Donc pour le moment je m'occupe du côté professeurs, j'ai déjà une grosse partie sur ce point. Ajouts, suppressions d'utilisateurs, modification des comptes...etc

Maintenant pour des raisons de "sécurité" et surtout transparence, je voudrais avoir ce type de lien un peu partout dans la plate-forme. Comme dans l'exemple précédant mais aussi la gestion des utilisateurs.

Exemple :
j'ai ma page avec le formulaire, et mon fichier PHP qui traite la demande.
Supposons que j'ajoute un user, la page utilisé est "ajout-utilisateur.php", le fichier de traitement est "traite-ajout-utilisateur.php". Quand j'envoie les données du formulaire, et que ces dernières sont traitées avec succès je voudrais avoir un lien du type ou quelque chose dans ce genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://plateforme/auth/ajout-utilisateur?<nom_nouvel_utilisateur>=ok

[ABCIWEB]

Je comprends pas trop ta question car qu'est-ce qui t'empêche de reprendre le même principe que précédemment ?

[TobiCar]

En faite je ne veux que les utilisateurs profs comme élèves ne voient un lien pointant sur un fichier traitant une requête.
Donc ce genre de lien --> "http:///plateforme/auth/traite-ajout-utilisateur.php" je n'en veux pas.
Je voudrais que ce soit remplacé/masqué (appelle ça comme tu veux), par un lien de ce type "http:///plateforme/auth/ajout-utilisateur.php?<nom_nouvel_utilisateur>=ok".

Si je devais utiliser header je le placerais où dans mon fichier traite-ajout-utilisateur.php ou ajout-utilisateur.php ? et à quel endroit dans le fichier ?

code de mon fichier traite-ajout-utilisateur.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php
	include('session-start.php');
	include('../connexion.php');
 
	$nameUser=$_POST['name_user'];
	$firstNameUser=$_POST['first_name_user'];
	$loginUser=$_POST['login_user'];
	$emailUser=$_POST['email_user'];
	$mdpUser=$_POST['mdp_user'];
	$confMdpUser=$_POST['conf_mdp_user'];
	$id='';
 
	$insert="INSERT INTO  users_profs VALUES ('".$id."','".$nameUser."','".$firstNameUser."','".$emailUser."','".$loginUser."',MD5('".$mdpUser."'))";
	//var_dump($insert);
	$res= $connect->exec($insert);
 
	// Message de validation
	echo '<meta charset="utf-8"><body onLoad="alert(\'Utilisateur créé \')">';
	echo '<meta http-equiv="refresh" content="0;URL=../log/users-list.php">';
 
?>

code de mon fichier ajout-utilisateur.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
<?php
	include ('session-start.php');
	include ('header.php');
?>
	<h2>Créer un utilisateur</h2>
<hr />
<div class="mise-form-panel-user">
	<form name="add-user" action="traite-add-user.php" method="post">
		<p class="champ-add-user">
			<label for="name">Nom </label>
			<input id="name_user" type="text" name="name_user">
			<a class="help-icone2" href="#">
			</a> 
		</p>
		<p class="champ-add-user">
			<label for="first_name_user">Prénom </label>
			<input id="first_name_user" type="text" name="first_name_user">
			<a class="help-icone2" href="#">
			</a> 
		</p>
		<p class="champ-add-user">
			<label for="login_user">Login </label>
			<input id="login_user" type="text" name="login_user">
			<a class="help-icone" href="#">
				<span>Ce login servira à ce connecter sur Intra-Stage</span>
			</a> 
		</p>
		<p class="champ-add-user">
			<label for="email_user">e-Mail </label>
			<input id="email_user" type="text" name="email_user">
			<a class="help-icone" href="#">
				<span>Cet e-mail servira à vous envoyer les alertes et si vous avez oublié votre mot de passe</span>
			</a> 
		</p>
		<p class="champ-add-user">
			<label for="mdp_user">Mot de passe </label>
			<input id="mdp_user" type="text" name="mdp_user">
			<a class="help-icone" href="#">
				<span>votre mot de passe doit comporter au-moins 4 caractères</span>
			</a> 
		</p>
		<p class="champ-add-user">
			<label for="conf_mdpuser">Confirmer mot de passe </label>
			<input id="conf_mdp_user" type="text" name="conf_mdp_user">
			<a class="help-icone" href="#">
				<span>Merci de renseigner le même mot de passe dans les deux champs !</span>
			</a> 
		</p>
		<input type="hidden" name="user_connected" value=<?php echo '"'.$_SESSION['login'].'"'; ?> />
 
		<button id="auth-submit" type="submit" name="submit">Valider</button>
	</form>
</div>
<?php
	include('../footer.php')
?>

[ABCIWEB]

Oui enfin on est bien d'accord que l'affichage de l'url n'a qu'un aspect cosmétique, hein ? En aucun cas il s'agit de sécuriser un script de cette façon, tout l'effort de sécurité doit être porté dans la logique du code et l'utilisation des variables de session.

D'ailleurs utilise des requêtes préparées, au moins pour celles qui utilisent des variables utilisateur, sinon le minimum est d'utiliser la fonction quote pour pdo.

Par ailleurs on ne fait pas afficher un message de confirmation avec javascipt en rafraichissant la page. Utilises plutôt php pour ça et garde javascript pour des utilisations plus appropriées.

Les headers de redirection tu dois évidemment les placer à la fin du traitement du code que tu dois exécuter avant que la redirection ait lieu.

[Watilin]

Après avoir lu toute la conversation, voilà comment je vois les choses.

Tu utilises un header location pour rajouter un paramètre GET à l'URL. Tu voudrais également que tous les liens de la page présentent le même paramètre. Pour moi, un lien doit conserver tous ses aspects pratiques (on doit pouvoir faire un marque-page dessus, le copier/coller, le partager, etc.), donc il vaut mieux qu'il reste générique. Ça me paraît mieux de vérifier le nom d'utilisateur au début de chaque script, et de le rajouter à l'URL avec le header.

Tu as également la possibilité d'utiliser l'URL-rewriting pour transformer, par exemple, /panel.php?panel=benjamin en /panel/benjamin.

Note à propos de la sécurité : en tant que paramètre GET, la variable $_GET['panel'] peut contenir n'importe quoi. Je peux saisir dans la barre d'adresse :

Code URL :

Sélectionner tout - Visualiser dans une fenêtre à part

http://localhost/appli/panel.php?panel=nyancat

Et $_GET['panel'] recevra la valeur nyancat. Cela signifie que, si tu ne contrôles pas cette valeur, tu peux avoir des étudiants qui tentent d'utiliser une session qui ne leur appartient pas. Pour cette raison, je pense que tu devrais mettre en œuvre une authentification également pour les étudiants.

[ABCIWEB]

...Cela signifie que, si tu ne contrôles pas cette valeur, tu peux avoir des étudiants qui tentent d'utiliser une session qui ne leur appartient pas. Pour cette raison, je pense que tu devrais mettre en œuvre une authentification également pour les étudiants.

Une session pas tout à fait dans le sens où il faudrait pouvoir voler l'identifiant de session, ce qui n'est pas si simple. Je veux dire que le module d'administration ne sera pas (ou difficilement) sensible à ce type d'attaque s'il est protégé par des variables de session. Sans doute voulais-tu parler de consulter une page d'information dédiée

Et consulter une page d'information (non protégée par une variable de session) d'un autre étudiant en modifiant la variable get avec ce principe de fonctionnement sera effectivement tout à fait possible. Si donc les informations à consulter sont confidentielles pour chaque étudiant il faut bien entendu faire comme tu dis

[TobiCar]

Et $_GET['panel'] recevra la valeur nyancat. Cela signifie que, si tu ne contrôles pas cette valeur, tu peux avoir des étudiants qui tentent d'utiliser une session qui ne leur appartient pas. Pour cette raison, je pense que tu devrais mettre en œuvre une authentification également pour les étudiants.

Ça je le sais et c'est bien pour ca que j'utilise toujours du $_POST[''].

Quant au fait de créer une session aux élèves j'y ai beaucoup réfléchis... Et je pense que créer une session par élèves serait inutile.
Explication, comme j'ai pu le dire précédemment, je suis entrain de créer une plate-forme collaborative entre professeurs et élèves pour la gestion des stages en entreprise. C'est à dire que par le biais d'un formulaire, les élèves pourrons remplir les informations de leurs lieux de stage qui permettra aux professeurs de créer la convention de stage.
En plus de ça en remplissant ce fameux formulaire, les infos des lieux de stages seront stockées dans une autre table MySQL afin d'avoir une "archive" afin d'aider les élèves dans leurs recherche de stages à partir de certains critères (localisation du stage, option de spécialité de formation, nom d'entreprise...etc.). donc c'est tout pour les élèves.

[Watilin]

Ça je le sais et c'est bien pour ca que j'utilise toujours du $_POST[''].

Attention, le POST est quasiment aussi facile à modifier que le GET. Il me suffit d'ouvrir la console de mon navigateur (F12), trouver les champs de formulaire et modifier leurs attributs value. Il n'y a pas de solution miracle, il faut contrôler les valeurs côté serveur, que ce soit GET ou POST. Ne jamais faire confiance à ce qui provient du logiciel client.

Je suis toujours convaincu qu'il y a un risque d'usurpation. Si je m'inscris sur la plateforme en tant que Jérémy Dupont et indique qu'il fait son stage dans, disons, une production pornographique, je peux nuire à sa réputation. Autre exemple, je peux inscrire mon ami Martin Duchamp et prétendre qu'il a trouvé un stage alors que ce n'est pas vrai.

Je ne comprends pas ce qui te gêne avec les sessions puisque tu les utilises déjà (include('session-start.php');).

[TobiCar]

Je ne comprends pas ce qui te gêne avec les sessions puisque tu les utilises déjà (include('session-start.php');).

C'est pas le fait d'utiliser du session qui me gêne pour les élèves. C'est juste que je ne vois pas l’intérêt de créer des sessions pour les élèves. Comme j'ai pu le dire précédemment, ils n'ont que deux actions possible. Envoyer un formulaire de stage au(x) professeur(s) et avoir la possibilité de rechercher un lieux de stage dans la base de données (avec du ereg('')coté serveur et du RegExp() coté client).

[ABCIWEB]

avec du ereg('')coté serveur et du RegExp() coté client).

ereg est déprécié depuis longtemps utilise preg_match à la place. Bizarre que php ne renvoie pas une notice d'erreur. Tu devrais activer les rapport d'erreur en phase de développement...

[TobiCar]

ereg est déprécié depuis longtemps utilise preg_match à la place. Bizarre que php ne renvoie pas une notice d'erreur. Tu devrais activer les rapport d'erreur en phase de développement...

Oup's pardon...J'avoue que je ne savais plus qu'elle était la fonction et j'ai regardé vite fait sur le web... Et en effet j'ai preg_match que j'utilise

[TobiCar]

Si je peux me permettre, ABCIWEB tu penses quoi sur l'histoire des sessions ? Devrais-je faire une une session pour les élèves ou pas ?

[ABCIWEB]

Il m'est difficile de répondre à ta place car c'est toi qui connais le fonctionnement de l'application. Sur le principe toutes les pages donnant accès à de l'information confidentielle doivent être protégées. S'il n'y a pas moyen d'accéder à ces pages sans authentification préalable alors ton application est ok.
Côté élève si toutes les informations auxquelles ils ont accès sont publiques, alors il n'y a pas de raison de mettre en place un système d'authentification.
Watilin pensait sans doute à un système dans lequel chaque élève aurait accès à des info personnelles, dossier de suivi par exemple etc. Et qui dit info spécifique en fonction de l'utilisateur, dit obligatoirement système d'authentification préalable.