[site web]système d'include sécurisé

php

26 août 2006 à 12:39:56

Bonjour
Je me présente je m'appel Kevin, j'ai 20ans et je suis étudiant en BTS productique bois est ameublement.
J'ai créer avec l'aide du site le SDZ, un site sur les add-ons de WoW (World of Warcraft un jeu en ligne).
Aprés plusieurs demandes sur des forums, une personne partage le site avec moi et s'occupe de tous ce qui est programmation php/mysql car son experience est plus élevée que la mienne.
"Malheureusement" notre site évolue, nous avons maintenant environ 200 visiteurs différents par jour, et donc plus de gens le connaissent, mais certaines personnes ont un malin plaisir à hacker le site. Or mon expérience et celui de mon coéquipier sont assez limitée et c'est pour cela qu'on vous demande de l'aide.

Mon projet

Comme dis précédemment, nous avons été attaqué 2 fois par des hackers différents et ceux à cause de failles d'includes et ce même en changeant nos url "exotique" par des url rewriting. Donc le projet consisterait à revoir les includes principaux afin de les sécuriser au maximum. Il ya pour nous 3 pages principales à inclure avec des Else..If et sont dans l'index.php.
Nous avons fermé le site, mais j'ai mis dans un dossier, sur le ftp, le minimum pour faire des tests de scripts. Vous pouvez ainsi voir à cette adresse à quoi ressemble le site (le forum et les identifiants lié au forum marche pas car je les ai pas mis): wowmods-fr.com

Ma demande

Pour réaliser ce projet, je suis à la recherche de :

[Un codeur PHP]
Pour sécuriser notre système d'include afin de supprimer les risques de hacking </li> </ul></span></span></span>

Informations supplémentaires

Vous pouvez me contacter aux adresses email: k_auvinet@hotmail.fr ainsi que ke20@wowmods-fr.com. En attendant une réponse je vais essayer de mon côté de trouver une solution via google, mais je pense pas que je réussisse avant quelque jours

.
Sinon on a aucune rémunération à proposer car on ne touche aucun revenue sur le site et que ce dernier à été créé pour rendre service et non pour gagner de l'argent.

merci d'avance

Ke20

berli888

26 août 2006 à 13:14:15

Tu rajoutes tous les liens de tes pages de ton site dans un tableau.
Et tu vérifies quand une page est appelée si elle est présente dans ton tableau.

J'espère que c'est ce que tu cherches.
Au fait, le design de ton site est bien fait.

Code soucre provenant de PHP débutant

<div class="entete" >
<?php
include('entete.htm'); // Nous appelons l'entete du site
?>
</div>
<div class="colonneGauche" >
<?php
include('menu.htm'); // Nous appelons notre menu
?>
</div>
<div class="colonneDroite">
<?php

// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('news' => 'news.php',
'accueil' => 'accueil.php');

// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page'])) && (isset($pageOK[$_GET['page']])) ) {
include($pageOK[$_GET['page']]); // Nous appelons le contenu central de la page
} else {
include('accueil.php'); // Page par défaut quant elle n'existe pas dans le tableau
}

?>
</div> <div class="pied">
<?php
include('pied.htm'); // Nous appelons le pied de page
?>
</div>

streeter

26 août 2006 à 13:38:35

Merci Berli888 pour le design

Sinon je pensais plutôt utiliser la méthode d'Elentar proposer ici .Je la trouve moins fouillis et plus simple car on n'a pas besoin d'ajouter toutes les pages du site. Sinon ta méthode je la connaissais aussi mais j'ai jamais réussi à la faire marcher sans bug

EDIT: de plus, elle s'approche plus de notre systeme d'include:

<?php
if(isset($_GET['pages']))
{
$pages = $_GET['pages'];
include($pages.'.php');
}
else if(isset($_GET['menupage']))
{
$menupage = $_GET['menupage'];
include('section/general.php');
}
else if(isset($_POST['action'])) {
if ($_POST['action']=="ok") {
include('resultats.php');
}
}
else
{
$pages = include('news_index.php');
}
?>

streeter

28 août 2006 à 22:49:42

Bonjour

Voila, avec mon "coéquipier" de site on a modifié nos include avec la méthodes des arrays.
Malheureusement sa marche avec le 1er, 3e et 4e include, mais pas avec le dernier.
On a eu beau modifier et faire plusieurs essais, rien à faire.

Donc je voulais savoir si quelqu'un pouvait nous aider quitte à ce que je lui donne le dossier du site via msn. Car il nous reste juste cet include et ensuite tout marche nikel.

Voila merci d'avance

berli888

29 août 2006 à 17:53:40

Tu rajoute dans ton array, un élément vide.

streeter

29 août 2006 à 18:25:31

c'est quoi que tu entends par un éléments vide?

voici ce qu'on a fait:

<?php

// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array( 'news_index' =>
'news_index.php',
'tuto' => 'tuto.php',
'proposer_mods' => 'proposer_mods.php',
'commentaires' => 'commentaires.php',
'ajout_commentaire' => 'ajout_commentaire.php',
'aleatoire' => 'aleatoire.php' ,
'archive' => 'archive.php',
'inscription_html' => 'inscription_html.php',
'proposer' => 'proposer.php',
'proposer_mods' => 'proposer_mods.php',
'resultats' => 'resultats.php',
'testimage' => 'testimage.php',
'carte' => './section/general.php?menupage=carte',
//'menupage' => 'section/general.php',
'testimg' => 'testimg.php');

// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['pages'])) && (isset($pageOK[$_GET['pages']])) )
{
include($pageOK[$_GET['pages']]); // Nous appelons le contenu central de la page
}

else if(isset($_GET['menupage']) && (isset($pageOK[$_GET['menupage']])))
{
$menupage = $_GET['menupage'];
include($pageOK[$_GET['menupage']]);
}

else if(isset($_POST['action']))
{
if ($_POST['action']=="ok")
{
include('resultats.php');
}
}

else
{
include('news_index.php'); // Page par défaut quant elle n'existe pas dans le tableau
}

?>

mais tout ce qui est avec menupage envoie vers la page d'index normal donc il inclut "news_index.php"

Dolerho

29 août 2006 à 22:06:41

Si tu veux, je peux t'aider à utiliser AJAX sur ton site, et aussi le sécuriser au maximum, voici mon adresse MSN : dolerho@gmail.com.