Discussion :

[jalex-jalex]

bonjour .
Je suis sur l'apprentissage de php depuis 2 jours ... et je suis un "littéraire".
je maîtrise xhtml /CSS ( +/-correctement?)

J'ai donc un page index.php
avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<div id="gauche">
<?php
include("menu.php"); 
?>
</div>
 
<div id="droite">
<?php
 if (isset($_GET['page'])) $page=$_GET['page']; else $page='1';
 require 'page'.$page.'.html';
 ?>
  </div>

et donc un fichier menu.php ( menu html)

Code HTML :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
  <ul id="menu">
 <li><a href="index.php?page=1" > Page1</a></li>
 <li><a href="index.php?page=2" > page2 </a></li>
 </ul>

Cela fonctionne MAIS il semblerait que cette solution pose un problème de sécurité ????
Cela est-il exact ?

Je devrais avoir en + :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 $pageOK = array('page1' => 'page1.php',
                  'page2' => 'page2l.php');
 
if (isset($_GET['page'])) $page=$_GET['page']; else $page='1';
 require 'page'.$page.'.html';

mais ces array semblent complètement ignorés ... Pourquoi ? je ne suis pas encore assez formé pour comprendre seul.

Merci pour votre aide ...
Je continue mon apprentissage ...

[GoTrUnKo]

Bonsoir,

Exactement, ceci n'est pas du tout sécurisé, pourquoi ?

Car le fait de faire un include en fonction d'une variable récupérée grâce à la méthode GET, va permettre à l'internaute de faire

http://monsite.com/index.php?page=ht...k/viderbdd.php

ou quelque chose du genre, il est très facile de faire des injections SQL par la suite.

Mais je te rassure il y a un moyen très simple de vérifier si la page est sur ton serveur ou si elle est ailleurs.

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
if(isset($_GET['page']))
                        {
                        $page = $_GET["page"];
                        $nom_page = $page.".php";
                        $rep = "."; //endroit où je suis 
                        $dir = opendir($rep); //ouverture du dossier
                        while(false !==($file = readdir($dir)))
                            {
                            if($file == $nom_page)
                                {
 
                                break;
                                }
                            }
                        if(!empty($page_exist))
                            {
                            include("./$nom_page");
                            }
                        else
                            {
                            include("default.php"); //j'affiche par défaut cette page
                            }
                        }
            else
                        {
                        include("default.php"); // étant donné que $_GET["page"] n'a pas été déclaré affichage de la page par défaut
                        }

Tu aurais par ailleurs pu mettre toutes tes pages dans des array, le but étant de parcourir ce Tableau et vérifier que la page contenu dans le $_GET est bien dans ce Tableau.

GoT

[jalex-jalex]

Merci,
En utilisant votre proposition, je vais revoir cette question.
Je ne sais pas lire - comprendre le code et je ne veux pas copier bêtement.
l'apprentissage de (X)HTML et CSS a été très facile. Il me semble que pour PHP je rentre dans du "dur" ( je n'ai jamais pratiqué un language de programmation).

Avant d'adopter PHP/SQL pour mes petits sites "perso" / Je vais donc étudier PHP à l'aide de ce document:
yogui-cours-complet-php ( http://php.developpez.com/cours/)

je reste preneur d'autres références en ligne ou livre.

merci

[GoTrUnKo]

Bonjour,

PHP n'est pas un langage dur, il est à la portée de tout le monde, le plus dur quelque soit le langage est d'acquérir une certaine logique, cette logique qui vous permettera de prendre en compte tous les paramètres, toutes les failles possibles (ou presque ).


Dans ce cas là, il est important de savoir ce qu'il se passe :

Nous avons besoin de passer grâce à la méthode GET le nom d'une page.
Vérifier que cette page est bien sur le serveur et dans un certain dossier.
Prendre en compte le fait que si la page n'est pas trouvé, afficher une page par défault.

A partir de là tu as presque tous les éléments pour concevoir une "pseudo-frame"

Bon courage pour ton application.

GoT