Discussion :

[griggione]

Bonsoir tous

Que voila des propositions généreuses,j'espere qu'elles seront retenues.

Merci Sub0,je vais déja explorer cette v2.0.

[griggione]

Bonjour tous

Bon ben pas de chance pour moi:je suis chez Free!!!

Alerte sécurité : Register_globals doit être mis à off!

Juste une question,je vois pas bien comment ceux déja inscrits,sont reconnus.
Il faut se connecter à chaque fois ou pas??????

[Sub0]

Tout d'abord merci pour votre intéret pour ce projet. Je prépare la liste des choses à faire... Vous serez ensuite invités à choisir une tâche selon vos compétences

Le message "Alerte sécurité : Register_globals doit être mis à off! ' est à supprimer du code, puisqu'il n'y a pas d'autre solution. Seulement, l'espace membre est moins sécurisé sur Free, c'est tout.

L'espace membre ne possède pas de connexion automatique (cookie). Il faut donc se connecter à chaque session, c'est-à-dire que le membre reste loggé jusqu'à qu'il se déconnecte, qu'il ferme son navigateur ou qu'il change d'IP.

à+

[griggione]

RE

Je suis en train de tester.
Avertissement de création OK
Activation OK
Mais la on arrive sur la page connect qui demande d'entrer login et pass OK et on revient sur la page membre qui propose connexion ou retour.
Le retour sur la page de connexion,etc.........
D'ailleurs si on fait l'éssai ici,erreur de base de donnée:

Voila une démo : http://espm.gotdns.org/inscript.php

Pour le message je vais chercher pour le virer.
Par contre pas de connection auto.....ça c'est genant,surtout que si j'ai bien vu,la session est de 600s.
Je comprend pourquoi mettre connect.php sur la page a proteger.
(au fait sur cette page,il y a deux fois connection et deux fois retour,qui disparait une fois l'alerte de sécurité enlevée)

Je vais me faire lyncher sur ce coup-là.
Le site que je prepare propose des tutos,mais pas de petites filles,plutot du genre Embedded (6 ou 8 pages,80 photos,etc.....)
C'est à dire la connexion d'un coté avec le tuto et de l'autre la fenetre de travail.
Minimum pour un petit projet d'embarqué,3 à 4 heures.
Ceux qui n'ont qu'un écran,ferme la fenetre et revienne quand il faut......et là se reconnecter

Sinon j'ai commencé a regarder pour la mise en style comme le site (du moins les trois qui arrivent)
Et là,bonne surprise,toute la partie <form> est bien séparée et distincte,c'est bien rare de nos jours de voir des créateurs qui pensent aussi au style.


Bon ben allez,j'y retourne

OUPSSSS....
"Alerte sécurité : Register_globals doit être mis à off!"
include/function.php ==> ligne 39 à 43

Pour Free ne pas oublier de :
1-déplacer le dossier include en racine du site.
2-Y copier dedans le fichier correspondant au choix de celui mis en tete des pages à protéger:connect.php ou inscript.php ou .........
3-créer un dossier sessions (avec un S) en racine du site

[Sub0]

griggione, je répondrai à toutes ces questions très prochainement car je suis trop occupé aujourd'hui pour pouvoir répondre correctement. Pour vous faire patienter un peu, n'oubliez pas que le sujet suivant discute des méthodes à utiliser pour obtenir le maximum de sécurité. C'est surtout avec les remarques et suggestions données dans ce thread que les améliorations de la V3 seront obtenues :
http://www.developpez.net/forums/showthread.php?t=12254

[griggione]

Bonjour Sub0

J'en suis bien conscient,c'est pour ça que j'emmene mes tests.
J'ai fini toutes les pages stylées,j'attend (bien sagement ) la suite des évenements

(/me espere avant Noël,il a trois sites en attente)

[griggione]

Bonjour tous

Je passais par là,j'ai vu de la lumiere
Je me suis dit que peut-etre......

hein..... .....bon d'accord!

[mickey45]

bonjour,
sachez que vous avez tout mon soutient pour ce projet.
Je n'ai moi non plus pas beaucoup de temps (ni de connaissance en sécurité dailleur) mais si je peux participer (pret d'un espace serveur par exemple ou beta test) nhesitez pas!
Bon courage

[griggione]

Bonjour mickey45

Si cela peut t'aider......

Salut!
... Je vais commencer par refaire la liste des choses à ajouter comme j'avais fait pour la v2 :
http://sub0.developpez.com/html/maj_v2.htm

Je dégriserai les lignes qui seront faites, comme ça vous pourrez voir où j'en suis.

Je demande que tous ceux qui sont motivés pour m'aider se manifestent !
Merci d'avance, à+

Regarde egalement mon post du: 24/05/2006, 18h44 ,page 16.
Je donne les quelques problemes rencontrés.
Je suis sur qu'il ne manque pas grand chose pour rendre,au moins cette version 2,opérationnelle.

[Sub0]

Désolé pour mon absence, j'ai passé les quinzes derniers jours à bosser et à préparer mon déménagement. Je ne serais pas vraiment disponible avant quelques semaines encore (peut-être 2 ou 3). Mais quoiqu'il en soit, je ferai la liste des modifs pour que l'on ai une vision claire des choses à améliorer.

[griggione]

Bonjour Sub0

OK et bon courage pour le demenagement,jamais marrant a faire......
(sauf la crémaillere qui suit)

Comme je dois mettre en ligne,je vais essayer comme ça,avec ce qui est fait.......en esperant que parmi ceux qui désirent apporter leur aide,ils pourront éventuellement donner des réponses aux problemes.

[griggione]

Bonjour tous

Bon j'ai tout remis.
La page a proteger appelle connect.php,puisque il le faut à chaque session,mais voila le message:

Fatal error: Cannot redeclare destroy_sess() in /mnt/112/sdc/7/1/*****/include/function.php on line 49

Et la partie concernée de fonction.php:

function Destroy_Sess(){
global $cfg;
@session_name($cfg['sess_name']);
@session_start();
@session_unset();
@session_destroy();
}

[Sub0]

Quelle est ta version d'Apache et de PHP ?

[mickey45]

bonjour,
et bien j'ai eu un peu de temps pour tester le script en V2 et ça marche pas mal pour moi à part une floppée de bug pour firefox (problème de centrage + problème de JS assez génant : en cas de mauvais mot de passe et en retournant sur le formulaire d'identification on est bloqué dans la situation Traitement en cours.Veuillez patienter s'il vous plait... avec bouton valider grisé ).
Je n'ai pas vu ces bug sur le todo.
Voilà un post pas très constructif juste pour dire bravo et à bientôt ^^

[griggione]

Bonsoir Sub0

Quelle est ta version d'Apache et de PHP ?

Je travaille en direct sur Free,pas de test en local,c'est du temps de perdu,il y a ensuite toujours des erreurs en tranferant.

[Swoög]

URGENT
Je voudrais savoir si le domaine (donné dans le premier POST de ce topic) et les différents comptes hébergé chez moi, y compris BDD et axx FTP doivent être conservé ou pas, je migre mes serveurs sous linux, j'ai besoin d'une réponse la plus rapide possible afin de pouvoir faire une installation propre... Bien sûr s'il n'y a pas de réponse, je conserverais les domaines et accès, mais je ne peux être sûr de tout ce que j'avais prévu même si je ferais tout mon possible...

Donc merci de me dire (au besoin par MP) ce qui est encore nécessaire, ce qui ne l'est plus, et les accès FTP/HTTP... ne pas hésiter à me redonner les mots de passe via MP ou Mail... je ne suis pas sûr de pouvoir les récupérer !

CECI NE CONCERNE QUE CE QUI EST HEBERGE CHEZ MOI !!!!

Merci d'avance à tous les membres du projets...
si je n'ai pas de réponse d'ici fin août (le 23 pour être précis), données, comptes, accès, etc... pourront être détruit à n'importe quel moment (dès que j'aurais envie de faire du ménage par exemple).

[Sub0]

Salut Swoög!

Nous allons reprendre le développement très prochainement. Nous reprendrons les hébergements du début (il n'y a pas de problème si il faut reéditer le post pour modifier les urls. A propos, que penserais-tu si je réalisais un petit script genre Mantis hébergé chez toi ? Cela nous permettrais de centraliser les améliorations de la V3 par rapport à la V2 et tous les participants pourrait alors sélectionner les tâches qu'ils voudront effectuer...

Si vous avez des suggestions à ce sujet, je vous écoute...

[Swoög]

pas de problèmes pour moi...

cependant, il faudrait que tu me renvoies les mots de passe FTP notam (si tu as toujours, sinon de toutes façons je dois les avoirs cryptés et stockés dans un coin, mais je préfère prévenir )

Je tiendrais au courant pour la migration, histoire de vous dire quand elle sera effective ^^

[edit]Dès maintenant, un accès SSH est disponible à la même adresse que le site, port 22, le login est espmem, le mot de passe est celui qui a été décidé à l'époque, il n'a pas été modifié depuis. il y a un fichier README dans votre dossier home (~) veuillez le lire dans son intégralité (avec cat ou less).
Les autres accès seront transposés au fur & à mesure...

Au passage : s'il y a quelqu'un de volontaire pour mettre à jour la version de phpbb installée alors il faudra qu'il se fasse connaître (MP)je lui indiquerais le mods à ajouter, afin d'avoir une version stable s'il est impossible de faire la mise à jour directement en conservant les mods ) (ça doit être faisable non ? )

De plus, tous les accès que vous connaissiez avec "ESPM" sont modifiés en "espmem" (sauf pour le nom de domaine, je ferais peut-être ça plus tard avec une période de transition, quand tout sera OK...)[/edit]

[heteroclite]

Bonjour,


J'ai téléchargé le pack de script "espace membre sécurisé", et c'est vraiment pratique et bien fait .

Cependant j'aurais besoin de renseignements pour pouvoir adapter un petit peu ce script. En gros j'aimerais utiliser ce script jusqu'à la création et validation dun compte par mail. Une fois le compte crée et validé, j'aimerais pouvoir utiliser ma page personnelle de login .


1ere question:

dans la table membre, dans le champs mdp, uen fois que le compte est activé une chaine de caractères est produite , s'agit il de l'encryptage Md5 du mot de passe saisi par l'utilisateur ?

2 eme question:

Si il s'agit bien d'un encryptage comment interpreter la chaine md5 du champ "mdp" lorsque mon utilisateur saisira son mdp non cripté dans mon formulaire de login ? Faut il que je rajoute MD5 quelque part dans le mon script (veriflogin) pour que au moment de la saisi le script verif login l'encrypte et le et le compare au mot de passe encrypté dans la base ?

ci dessous mon code de verif logindans ce script ne pas tenir compte du champs email qui est en fait le login)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
/ On n'effectue les traitement qu'à la condition que 
// les informations aient été effectivement postées
if(!empty($_POST['email']) && !empty($_POST['mdp']) ) {
 
  //extract($_POST);  // voir doc de cette fonction
 
// On va chercher le mot de passe afférent à ce email
$sql = "SELECT * FROM t_users WHERE email = '".trim(addslashes($_POST['email']))."' AND mdp = '".trim(addslashes($_POST['mdp']))."'";
 
 
 
$req = mysql_query($sql) or die('Erreur SQL : <br />'.$sql);
 
 
 
 
 
// Si l'utilisateur existe ...
if (mysql_num_rows($req) > 0) {
 
$emailOK = true;
 
$data = mysql_fetch_assoc($req);
$_SESSION['id'] = $data['id']; 
$_SESSION['email'] = $data['email'];
 
$_SESSION['mdp'] = $data['mdp'];
}
}

si quelqu'un peut m'eclairer sur ce sujet ...ça serait sympa

[Sub0]

Salut! Je t'avais pourtant demander de simplifier ta question dans mon MP... Bref.
Apparrement, tu veux valider l'inscription dans un formulaire au lieu de cliquer sur le lien du mail. Le code MD5 qui se trouve dans ce lien est généré aléatoirement et enregistré dans la base de données pour être ensuite comparé. Ce lien appelle le script inscript.php avec le paramètre act et log :

Pour activer votre compte, veuillez cliquer sur ce lien :
http://127.0.0.1/espmem/inscript.php?act=k82hzohqsc5x5as4&log=dood

Il suffit de reprendre le même code pour la validation du formulaire, mais au lieu de récupérer les paramètres avec $_GET, les récupérer avec $_POST et de créer ton nouveau formulaire en te basant sur ce code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<form action="inscript.php" method="post"/>
<input name="act" type="text"/>
<input name="log" type="text"/>
<input id="valider" type="submit" value=" VALIDER "/>
</form>

Ensuite, dans le script inscript.php, le code qui recevra ces infos est ici :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
//=============================================================================//
//  ACTIVATION DU COMPTE (HYPERLIEN DU MAIL)
//=============================================================================//
if((!empty($act))&&(!empty($log))&&($act!='1')&&($act!='submit')){
    $res=View_Form_Active($log,$act,true);
    if($res==$const['st_active_ok'])
        Make_Connexion($log);else View_Alert($res);
    return false;
}

à+