Discussion :

[wamania]

Alors
Le gouffre de sécurité venait du fait que les envois de mail se font à travers la class user, sur les données membres de celle-ci
Pour y avoir acces pour un user précis, je logguais le user, envoyait le mail, puis deconnectait. Ce qui est affreux en fait, car si le script s'arrete entre les 2, le user est loggué. Meme si son profil est incomplet, au niveau des droits, il aurait acces à la partie membre.
J'ai corrigé le soucis en ne logguant plus le user, mais en l'identifiant (on sait qui il est, mais il n'est pas reconnu comme connecté).
Après reflexion, je pense que je vais refondre completement la partie mail, mais je sais pas trop encore comment.

Le filtrage Poka-Yoké
Le poka-Yoké est un principe selon lequel on laisse le choix de faire que le bon
En d'autre terme, la classe englobe les $_POST et $_GET qui deviennent inaccessibles par $_POST['var'], mais seulement par une fonction $_POST->getValue('var') apres avoir obligatoirement passé cet offset dans un filtre (meme vide).
Le filtre se fait en 2 partie :
- vérification du type de donnée qu'on attend (chiffre, string, alphanum...)
- filtrage de la sortie (HTML, htmlentities, ou texte brut)

[wamania]

3) C'est quoi ça : Pour info : votre clé publique de chiffrement (128 bits): 263048463986068308354594346418065157207, 65537 . J'ai rien pigé au système.

Pour les chiffrement asymétrique comme le RSA, il y a 2 clés. une public, l'autre privée.
Tout est encrypté avec la clé publique, qui n'est absoluement pas secrete
et tout est décodé avec la clé privé complement secrete (qu'on peut voir dans le tableau session en bas de page)

4) C'est pas un contradictoire de faire un système de mot de passe haut de gamme et d'en filer le code à tout le monde ?

si tu parle de la clé public comme ci-dessus, non comme je l'ai expliqué.

==> Le coup d'obliger de renseigner son msn c'est pas possible ça, si je veux pas ou si j'en ai pas tout simplement ?

comme je l'ai deja dit, ce champ n'est qu'une demonstration d'un système de champ dynamique, permettant à tous de créer rapidement des champs perso. Ici j'ai créé comme exemple MSN, pays, description. Mais va falloir que je change ce MSN, ça bouleverse trop de monde (en meme temps je comprends). La seule restriction du champ est d'avoir au moins 5 lettres, marque "salut", ça passera

==> J'ai trouvé très esthétique les lettres à recopier c'est plutot rare.

pareil.
Comme je l'ai dit, j'ai utiliser une classe de http://classes.scriptsphp.net:81 qui est vraiment très bien et très jolie (+ un petite police von www.dafont.com)

[griggione]

Bonjour tous

Je sais,le soleil,le foot........
Alors les codes

[wamania]

Bon, après une série de test, de remarques qu'on m'a suggérées ici même, plusieurs MP me demandant les codes et mon manque de temps pour m'en occuper, je me risque à publier la première version.


c'est la même version que celle de démonstration ici
www.wamania.com/aedituus/

les docs dans moyennement longtemps (écrites à 40% à l'heure actuelle)

[wamania]

Salut tout le monde

Plusieurs correction/amélioration, dont certaines majeurs.

- Suppression des `` autour des noms de colonne dans un soucis d'interopérabilité (les `` sont spécifiques à MySQL). Pour protéger mes champs, dont certains avaient des noms problèmatiques (key, value....), on m'a conseillé 2 choses. Mettre des " autour de mes noms de colonnes, ou éviter de mettre des noms réservé aux mots-clef SQL (recommandé, car certain SGBD n'accepte meme pas la création de champ avec des noms réservés)). Ainsi, tous les noms de champs de toutes les tables ont été renommés.

La modif consiste à ajouter xx_ devant le nom de chaque colonne
ex :

• nom dans membres devient me_nom
• key dans membre_vars devient mv_key ...

Ceux ayant déjà installé une version de l'aedituus devront faire cette manip à la main (ça va vite, fait en 10 min).

- Ecriture d'une classe de connexion à SQLite

- Ecriture d'un db manager (un factory de l'objet db Mysql ou Sqlite) qui renvoit une instance unique (singleton) de cet objet db.

- Ajout d'une constante EXT qui contient l'extension des fichiers (include/extension.inc). J'ai tout remis en .php, si vous devez mettre .php5, indiquer le dans ce fichier, puis modifier les extension de vos fichiers et c'est bon). A venir je pense, un script de modification automatique d'extension (personne n'aurait ça sous la main ?)

- Correction d'une erreur de syntaxe dans le fichier inscript.php ligne 293, il faut enlever le & devant $user (Merci Pierre3)

- Ha, alors ce bug, il est particulier. Il semblerait que les version supérieur à 5.1.2 de PHP contiennent un bug sur le fonction preg_replace lorsqu'on utilise en 2ième paramètre un renvoie sur un résultat du pattern.
Ainsi, au lieu d'avoir en résultat 0 la chaine "complete" et en 1 notre première parenthèse, on a directement la première parenthèse en 0.
Bref : PHP <= 5.1.2 dans captcha.class.php, ligne 415 : mettez '$1 '
pour PHP > 5.1.2 mettez '$0 '
Je pense que ça sera corrigé rapidement dans PHP

- Si GD n'est pas présente, la fonction de protection par image est désactivée automatiquement.

- Correction d'un bug à l'inscription qui faisait que lors d'un cryptage du mot de passe coté client, le serveur enregistrait en base l'attribut mdp de l'objet $user, alors qu'en fait, le décryptage était fait sur une simple variable.

[Sub0]

Super! On va enfin pouvoir récupérer le code que tu nous avais promis dans l'autre sujet !

De plus, les remarques de ce sujet nous serviront sûrement pour le développement de la V3.

à+

[EDIT]
Très beau travail !
Je n'oublirai pas de te citer dans le code que nous utiliserons

[wamania]

Salut tout le monde.

Pour améliorer la compréhension du code, j'ai essayer de finir une "doc" sur l'aedituus.
Ce n'est pas du tout une doc style javadoc, plutôt une synthèse du minimum à savoir pour s'y retrouver.
N'hésiter pas si il y a des points obscures

[wamania]

Juste une petite intervention pour dire que le script est libre de droit, que j'essaie d'aider au mieux par MP ceux qui veulent l'utiliser, et que j'ai vraiment trop peu de retour.
Je ne sais même pas, dans ceux que j'ai aidé, combien ont été au bout et combien on mis ça dans la corbeille.

Sub0 va démarrer la V3 de son script d'espace membre, c'est le moment de faire entendre vos attentes, vos difficultés, ce que vous trouvez bien, pas bien, et non quand il aura fini....

[kalash_jako]

Salut, ca faisait un baille, mais voilà je suis passé vite fait, et j'ai lu (en diagonale je l'avoue) les derniers post. J'ai bien compris que c'était bien une version pour développeur, mais je ne sais pas si c'est normal que l'on optienne des messages d'erreur.

Dans le doute:

Lorque l'on tappe une adresse email bidon, mettons 'a' j'obtiens une erreure fatale.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
Fatal error: Uncaught exception 'Exception' with message 'Untainting violation [Email] for element email' in /home/wamania/public_html/aedituus/class/filter.class.php5:193 Stack trace: #0 /home/wamania/public_html/aedituus/inscript.php5(32): Filter->unTaintEmail('email') #1 /home/wamania/public_html/aedituus/index.php5(83): include('/home/wamania/p...') #2 {main} thrown in /home/wamania/public_html/aedituus/class/filter.class.php5 on line 193

Voilà, j'espère ne pas avoir posté pour rien.

[wamania]

effectivement, c'est une réaction "normale"
En fait, il s'agit ici d'une exception soulevée par la classe filtre car ton email n'est pas valide.
Mais l'exception n'est pas capturée, d'ou ce message affreux.

a verifier, mais je pense qu'un simple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
set_exception_handler('affiche_message');

devrait tout arranger, j'y réfléchirais
Merci pour la remarque.

[balu]

La limite de 25 caractères pour le email est trop courte. Le mien fait 28 caractères.

Pour le côté esthétique du formulaire, tu peux regarder cet exemple.

[wamania]

Dans la base de donnée, table config, il y a un champ email_max_size, change le à ta guise.

[wamania]

Devant le nombre relativement important de personne qui m'ont contactées ces derniers mois, j'ai décidé de relancer la machine. Voici donc la première démo de la béta de l'aedituus 2.0.0

Donc déjà, pourquoi 2.0.0 ?
pcqu'il y aura des suites. Comme il est courant dans les versions des projets infos, le 1er nombre (le 2) correspond à un code-base relativement fixe. Le 2ième nombre correspond à des ajouts de fonctionnalité, et le dernier correspond à des mises à jours de sécurité ou de bugs pour la branche courante.

Pour ceux qui connaissent, quoi de neuf ?
A la fois bcp de choses, à la fois pas grand chose. Il n'y a quasiment aucune des fonctionnalités qui m'ont été demandé. La raison est simple, j'ai commencé par tout récrire, dans le but de le faire évoluer. Cette version est donc une reprise de l'ancien, mais tournée vers l'avenir.

Donc quoi de différent ?
- J'ai revu tous les commentaires façon phpdocumentator
- Les fichiers templates sont maintenant au formats PHP. Ils sont encore bien distincts du reste du code, mais il suffit d'une fonction de 19 lignes pour joindre le tout
- Le visuel est complètement refait, et acceptera d'autres layout/css en fonction des contributions. De plus, le code html passe le validateur XHTML 1.1 (strict) et CSS2
- L'ensemble du code est en UTF-8
- Il n'y aura plus qu'une classe (mysql) utilisant PDO, permettant de créer des wrapper pour d'autres bases, mais s'appuyant uniquement sur PDO (petit rappel : dans PHP6, les mysql_query, c'est fini ! De plus, PDO est un excellent moyen de lutter contre les injections SQL grâce aux requêtes préparées)
- Un nouveau système de filtrage de champ permet de choisir soit même les restrictions de chaque champ de formulaire (nombre, alphanumérique, regexp, etc...) et d'en ajouter
- L'ajout de champ dynamique sera entièrement opérationnel (et contrôlé par l'admin). Il permet ainsi d'ajouter à l'inscription un champ de formulaire (tous les types de champs sont pris en compte). La valeur de ce champ sera ensuite directement accessible partout dans le script à la connexion.
- Plusieurs optimisations des accès bdd, qui devraient continuer d'ailleurs
- Utilisation de jquery pour le js
- ajout d'un testeur de force du mot de passe en js
- Globalement, s'il reste qqs similitudes, le code a été revu dans sa globalité.
- Changement de la licence aussi, mais je suis pas encore sur qu'elle soit définitive. Soyez sûr que quelque soit le choix de la licence, vous pourrez de toute façon continuer à l'utiliser de toutes les manières qui soient. La seule différence que j'y vois est vraiment la notion de paternité

Alors, la suite ?
- Une interface d'admin simple est déjà en cours (50%)
- Un premier jet d'un système de plugin, qui permettra notamment l'inscription simultanée à différent script extérieur (forum, blog, etc...)
- Une API distinct et catégorisée permettant par exemple d'agir sur un user, facilitant les interfaces d'admin séparée, permettant aussi d'obtenir les gens connectés, les mails, etc... enfin un ensemble de fonctions utilisables facilement et rapidement pour faire tout ce qu'on veut (ou presque)

En attendant une béta ouverte (lorsque l'admin sera finie je pense, dans pas très longtemps), vous pouvez voir l'état actuel ici
http://www.wamania.com/aedituus/demo.../connexion.php
et me faire vos retours sur ce post.

La raison pour laquelle je ne post pas le code sans l'interface d'admin, c'est que je sais déjà que tout le monde va galérer sur l'ajout des champs dynamiques, comme c'était déjà le cas dans les versions précédentes.
Notez justement que dans la démo, ces champs appelés "Informations complémentaires" sont justement créés à la volée, et ne sont donc pas présents par défaut dans l'aedituus !

[Sub0]

Bravo Wamania !!

Continu comme ça.

Edit : Peut-être une idée intérressante pour toi, mettre en ligne un Mantis pour recenser les éventuels bogues ou les améliorations à apporter...
A+

[wamania]

D'ailleur Sub0, ça en est ou ta version 3 ?
La concurrence c'est le bien ! ça laisse plus de choix et il me semblait que tu avais fait qq chose en plus ?

[Sub0]

Salut!

Oui le projet est toujours vivant mais pas trop d'actualité car en ce moment, je travaille en tant que Freelance sur Paris.
Désolé, je n'ai plus de temps libre pour me replonger dans le code. Mais c'est juste repoussé, ma motivation est intacte.

[Invité]

Hello,

A la recherche d'un script de zone membre FIABLE, Je saute du topic original de subo pour atterir ici.
T'as demo en 2.0.0, wamania, semble vraiment TipTop, je voulais savoir si une version en download pour test etait dispo klke part, ou toujours en prod.
Je continue mes investigations.

Merci pour l'aide.

[The_Pretender]

Bonjour,

J'ai parcouru ton script. Il est très intéressant, et surtout utilise une structure php5 sous forme de classe.

Je n'ai trouvé que cette version en téléchargement public : public_aedituus_V1.1.zip, est-elle utilisable sur un site en production ?

Je teste l'intégration de ton script sur notre site et je te tiens au courant. Notre structure est également architecturée en php5 classe. Ce qui devrait facilité son intégration.

Je te remercie d'avoir pris le temps d'écrire un script aussi performant.

[Bigstef]

Bonjour

J'utilise une encryption en RSA pour s'authentifier sur un site.

J'ai utilisé ce tutoriel pour démarrer:http://guillaume-affringue.developpe...?page=sommaire

Les algorithmes javascript d'encryption sont similaires a celui de Aedituus.

Quand on remplit les champs mot de passes avec plus de 15 caractères, une fenêtre avec message d'avertissement apparait.("Arrêter l'exécution de ce script?...")
Il semble que ce soit la bibliothèque BigInt.js qui soit a l'origine de ce problème.

Avez-vous une idee pour corriger ce problème?

[wamania]

Il faut savoir que le chiffrement s'éxecute coté client, et dépend donc des perf du PC client. Le RSA est assez gourmand. Firefox affiche cette fenètre en cas de script "sans fin", pour le chiffrement c'est différent, il y une fin, c'est juste trop long pour firefox.

Une solution consiste à baisser le nombre de bit de la clé.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
// coté serveur
$nbBits = 128; // mettre ici 64 par exemple
$key_pair = new Crypt_RSA_KeyPair($nbBits, 'BCMath');
 
// le coté client devrait suivre, sauf en cas de modif manuelle
var nb_bits = <?php echo $nbBits; ?>;