Discussion :

[gambic]

Bonjour,

je souhaite crypter un montant dans une url en passant par ajax > "jQuery.post()".

J'ai donc fait le code ci-dessous (page "test.php"), qui crypte le montant via la fonction base64_encode() de php, puis affiche la nouvelle page via header("Location: $lienCrypte");

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
<?php 
if (isset($_POST['lienClair'])) { 
$lienClair = $_POST['lienClair'];
 
preg_match('#montant=([\d\.]+)#', $lienClair, $match); 
 
$montantCrypte = base64_encode($match[1]);
 
$lienCrypte = str_replace($match[0], 'montant='.$montantCrypte, $lienClair); // remplacement du "montant" en clair par le montant crypté
 
header("Location: $lienCrypte");
}
?>
 
<html>
<head>
<script type="text/javascript" src="http://code.jquery.com/jquery-latest.js"></script>
 
<script type="text/javascript">
$(document).ready(function() 
{
	$('a[name=resaLink]').click(function()
	{
	var lien_js = $(this).attr("href");
 
	$.post("test.php", { lienClair: lien_js });
 
	return false;		
	});	
});
</script>
</head>
<body>
<a name="resaLink" href="envoi.php?produit=produit1&amp;montant=120.00">produit 1</a><br>
<a name="resaLink" href="envoi.php?produit=produit2&amp;montant=80.00">produit 2</a>
 
</body>
</html>

Je ne comprends pas pourquoi mon header("Location: $lienCrypte"); ne fonctionne pas... Pouvez-vous m'ader svp?

Merci!

[Quatre_Couleurs]

Lu,

Essaie

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header("Location: ".$lienCrypte);

[gambic]

Merci Quatre_Couleurs, j'ai essayé mais ça ne change rien...

[Quatre_Couleurs]

Ok je m'étais pas trop penché sur le code vu que j'avais vu ça en premier

Alors, ça ne peut pas marcher puisque tu demandes à ton javascript d'aller chercher un lien avec le nom resaLink mais tu as plusieurs éléments qui correspondent...

Donne différentes identités à tes liens!
Je mettrai le return false sur l'évènement onclick plutôt que dans ton ta fonction.
Ce qui donne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
<body>
<a id="lien_1" href="test2.php?produit=produit1&montant=120.00" name="resaLink" onclick="return false;">produit 1</a><br>
<a id="lien_2" href="test2.php?produit=produit2&montant=80.00" name="resaLink" onclick="return false;">produit 2</a>
</body>
</html>

J'associerai à chaque élément son clic avec un .each. Window.location te permet de rediriger l'utilisateur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
$(document).ready(function() 
{
	$('a[name=resaLink]').each( // pour chaque lien ayant pour nom resaLink
			function(){$(this).click( // lorsque je clique sur ce lien
					function()
					{
						var lien_js = $(this).attr("href");
						$.post('test2.php', { lienClair: lien_js }, function(data){window.location = data;});
					}
			);}); 
});

Enfin je mettrai le PHP dans un autre fichier

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
<?
 
if (isset($_POST['lienClair']))
{ 
	$lienClair = $_POST['lienClair'];
 
	preg_match('#montant=([\d\.]+)#', $lienClair, $match); 
 
	$montantCrypte = base64_encode($match[1]);
 
	$lienCrypte = str_replace($match[0], 'montant='.$montantCrypte, $lienClair); // remplacement du "montant" en clair par le montant crypté
 
	echo $lienCrypte;
}
 
?>

Puis pour finir une fois que j'ai fait tout ça je me demanderai:

1. pourquoi je veux crypter un prix?
2. pourquoi je veux crypter un prix qui apparaît en clair dans mon lien?

[gambic]

Merci bcp pour cette réponse détaillée.

Par contre mon objectif est de crypter le montant non pas dans la page, mais dans l'url, pour éviter qu'il soit trop facilement modifiable. C'est pour cela que je souhaite faire la redirection en PHP, après cryptage (et sans passer par une page intermédiaire).

J'ai testé ton code, la redirection en js fonctionne, mais toujours pas en php...

[guigo]

Salut,
tu as fait un echo dans ton if ???
Est tu sur que cette condition est validée ?
Au niveau de la syntaxe ca semble correcte pourtant !

[gambic]

en effet :
if (isset($_POST['lienClair'])) { echo $lienClair = $_POST['lienClair']; } n'affiche rien... bizarre...

[Quatre_Couleurs]

Le montant est bien crypter dans l'URL en cliquant sur le lien 1 j'obtiens quelque chose comme:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://www.mon_site.com/test2.php?produit=produit1&montant=MTIwLjAw

Le test fonctionne bien dans la page PHP puisque le echo me donne l'adresse cryptée.
Je précise juste que dans mon exemple le code PHP est dans un second fichier appelé test2.php et le HTML et javascript est dans un premier fichier appelé test.php.

Sinon pour la question de la sécurité, j'espère que tu ne fait pas payer les gens suivant le montant qui est dans ce lien. Il suffit que j'ouvre Firebug, que je mette ce montant à 0 dans ton lien pour ne rien payer? La meilleure solution est d'aller rechercher ce montant en base en faisant passer l'ID du produit dans l'URL (ID cryptée pourquoi pas) ou tout simplement de faire un formulaire en méthode POST.


Pour finir:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if (isset($_POST['lienClair'])) { echo $lienClair = $_POST['lienClair']; }

ça ne peut marcher puisque tu veux afficher le résultat d'une affectation.

[RunCodePhp]

Salut

Je ne vois pas bien l'intérêt de tout ça, le cryptage mais aussi du JS.

Pourquoi ne pas crypter cette valeur en Php directement, ce serait plus simple, non ?
Il me semble qu'ici que le décryptage devra ce faire en Php, une fois la valeur reçue, non ?

La meilleure solution est d'aller rechercher ce montant en base en faisant passer l'ID du produit dans l'URL (ID cryptée pourquoi pas) ou tout simplement de faire un formulaire en méthode POST.

+1
Il suffit aussi de désactiver JS et on fera ce qu'on veut.

Pour ma part, ce genre de précaution est vraiment inutile à mon sens, car un internaute lambda (pas un pirate) s'en fiche comme de l'an 40 ce qu'il y a dans l'URL, lui, ce qu'il veut c'est que ça marche, qu'il achète le produit et soit livré.
Et si c'est un pirate, même un internaute quelque peu roublard, ce n'est pas ça qui va l'arrêter, bien au contraire, tu fais exactement ce qu'il faut pour te faire pirater.
Enfin, c'est mon avis.

[gambic]

Pourquoi ne pas crypter cette valeur en Php directement, ce serait plus simple, non ?

Le soucis c'est que le montant peut-être modifié via jQuery après l'ouverture de la page...

Je comprends que ce code n'est pas adapté à une boutique en ligne "grand public", mais il s'agit dans mon cas d'un petit nombre d'utilisateurs identifiés.

[Quatre_Couleurs]

Et si c'est un pirate, même un internaute quelque peu roublard, ce n'est pas ça qui va l'arrêter, bien au contraire, tu fais exactement ce qu'il faut pour te faire pirater.
Enfin, c'est mon avis.

+1

Tu devrais juste jouer avec l'id du produit qui est dans ta base, nommer tes liens en fonction de cette id pour retrouver quel produit a été cliqué. Crypte ou ne crypte mais cela te simplifiera grandement la programmation et tu auras un code robuste.

[RunCodePhp]

Le soucis c'est que le montant peut-être modifié via jQuery après l'ouverture de la page...

En admettant que tu ne puisse pas faire autrement, et bien pour le jQuery à la limite on s'en fiche.
Enfin, j'essaie de comprendre, mais si le jQuery est fait pour juste actualiser un montant en haut à droite (le panier ou le prix du produit) et bien coté sécurité on s'en fiche, le pirate ne fera que modifier une donnée purement informative.

Pour le lien avec le paramètre, s'il sert à mettre à jour une Bdd ou un fichier, alors ici il y a des précautions à prendre.
C'est ici où le cryptage sera nécessaire, (à défaut d'un autre moyen plus sur).

Si ce n'est pas ce déroulement, faudrait voir qui fait quoi.

[gambic]

Merci pour vos conseils, pour plus de sécurité (et ne pas trop alourdir mon code) je pense que je vais passer en méthode POST.

[Quatre_Couleurs]

Comme l'a souligné RunCodePhp, les méthodes utilisées dépendent de ce que tu veux faire.