Avec POO tu as "try" et "catch", ça permet d’"attraper les erreurs". C'est relativement pointu (suivant comment tu l'utilise/code) tu peux donc rediriger sous forme de log. Avec ça tu peux listé l'ip lié a l'erreur, la requête etc, mais ça c'est comme dab... pas besoin de POO ^^

haaa ça m’énerve ! J'avais réalisé un teste de db vs file. La db était très rapide sur des demandes basé sur de l'indexation (logique), mais bien plus lente dans les autres cas. Impossible de retrouver le result... Teste effectué avec une boucle de 50.000. Apres, j'utilise des fichiers avec un réalisé sous forme d'indexation, du coup ça reviens surement presque au même ... (en moins complexe et sans mdp etc ...)

Remarque tres intéressante, j'ai de suite testé et .... nan ça ne marche pas. Meme en désactivant "function filtre_nettoyage". Peut être qu'avec une mauvaise configuration du serveur cela pourrait marcher ... hum.

oui justement, php objet serait utile pour un log. Mais sans log dans un projet comme celui là ... bof quoi.

Je n'utilise que TRES rarement des db et je ne m'y connais pas bien sur ce point là.
la puissance de sql sqlite etc ... ne m'a jamais vraiment motivé (sauf pour un forum ou ce genre d'utilisation) ... du coup j'utilise des fichiers en dur(souvent généré par php) et du .ini pour les config.

Oui, je comprends ou tu veux en venir et j'avais a un moment envisagé le log.
Mais comme je ne l'ai finalement pas mis en pratique, l'objet ne me semble pas percutant en l’état actuel.

C'est vraiment un tout petit projet, donc le réécrire en objet ne prendrais pas beaucoup de temps même en y intégrant les  try/catch.

Verrais tu une réel utilité d'un log ? Après tout ce ne sont pas de grosses attaques et en cas de risque majeur apache/fail2ban le log de son cotée.

PS : D'un point de vue tout a fait personnel, je n'aime pas l'objet. Quel que soit le langage ça m'énerve, et ce sans savoir trop pourquoi. La construction en objet sous php ok, mais je ne trouve pas son utilisation, sa mise en pratique très ... judicieuse mais plutôt fastidieuse.  

--- --- EDIT --- ---
*Oups, LSD a répondu avant moi.

Oui c'est ce que je voulais dire ... ce forçage, c'est crade.
Au passage après les conseils de ce forum et l'autre, j'ai maj ma source qui passe du coup en Beta 1.

Et donc, phase d'optimisation, listage des erreur possible a engendrer et recherche de d'autres fonctions utiles !

Merci en tout cas.

[EDIT :]

J'ai tout ajouté a la petite liste.

pour le filtre de fichier, utilisant toujours une sécurisation et un chemin en plus de ce script je n'aurais pas eu de problème, mais du coup je n'avais pas vu cette faille.

Par principe je préfère garder "filtre_nshell", même si je suis d'accord avec toi.
Échapper les chaines demandé et utiliser "escapeshellcmd" pour les groupement, ça me semble déjà bien plus sécurisé. Si tu as une autre proposition ? (hors supprimer shell)  

EDIT :

j'avais oublié une minmini page :

Code:

<?php
// Verification de l'UTF8
function utf8_enc($valeur)
{
    if(mb_detect_encoding($valeur) != "UTF-8")
    {
        $result = utf8_encode($valeur);
    }
    else
    {
        $result = $valeur;
    }

    return $result;
}

[veritable]

Je n’osais pas utiliser le veritable cookie du site du coup je cherchais dans le vide ...
Cette aide : http://www.newbiecontest.org/forums/index.php?topic=2359.0
est un petit peu TROP abusé, non ? 

Teste tres sympa. merci

Je l'avais pas vu tien
Même sans l'utiliser ça peut être pratique de savoir sécuriser ça.

Après je ne pense pas que lister les | et/ou ; soit la meilleure façon de procéder.
Tu aurais une proposition sur cette "sécurisation" ?

EDIT : Je retourne ça dans ma tête, sans avoir la sensation que "escapeshellcmd" et "escapeshellarg" soit forcément complémentaire.
EDIT : "elle autorise les personnes mal intentionnées de passer un nombre d'arguments arbitraire. Pour échapper un seul argument, la fonction escapeshellarg() devrait être utilisée à la place." Donc pour un traitement, c'est complémentaire... A voir comment procéder pour isoler individuellement des chaines voulues.

EDIT : A si j'ai déjà utiliser du shell en php, mais seulement sur un script local
EDIT : Merci, ton recule me fait remarquer cette grosse ... faille. Je suis content d’avoirs soumis ce script !

[Remarques retenue :]

Salut a tous et a toutes,
j'ai entrepris la conception d'un scripte possible a utilisé comme base de chaque site.
Alors pour le tester, quoi de mieux que de demander de l'aide a plusieurs communautés.

Code:

<?php
/* ----------
 * Beta 1.0 -
 * ----------
 * Merci aux personnes qui m'ont permi
 * de prendre consiance de mes erreurs
 * et de leur divers aides :
 * ----------
 * www.developpez.net
 * www.newbiecontest.org
---------- */


// Filtres de nettoyage
function filtre_nettoyage($valeur)
{
    $valeur = trim($valeur);
    $valeur = htmlentities($valeur, ENT_QUOTES);
    // $valeur = strip_tags($valeur); // SHOULD -- You never know
    return $valeur;
}

// Filtre pour fichier
function filtre_fichier($valeur, $chemin)
{
    $chemin = dirname(__FILE__).$chemin;
    
    if(!strstr($valeur, ".."))
    {
        if(!file_exists($chemin))
        {
            echo "Erreur : Le fichier demandé n'existe pas ou n'est pas autorisé !";
            exit();
        }
        else
        {
            return $valeur;
        }
    }
    else
    {
        echo "Erreur : Tentative interdite !";
        exit();
    }
}

// Filtre pour shell (use filtre_nshell($valeur, TRUE | FALSE))
function filtre_nshell($valeur, $chaine)
{
    if($chaine)
    {
        $valeur = escapeshellarg($valeur);
    }
    else
    {
        $valeur = escapeshellcmd($valeur);
    }
    
    return $valeur;
}

// Parseur de securisation
function parse_secur($parseCode) 
{

    if (is_array($parseCode))
    {
        foreach ($parseCode as $clef => $valeur)
        {
            $valeur = filtre_nettoyage($valeur);
            $parseCode[$clef] = utf8_enc($valeur);
        }
    }
    else
    {
        $parseCode = filtre_nettoyage($parseCode);
        $parseCode = utf8_enc($parseCode);
    }

    return $parseCode;
}

// Verif email/url/ipv4/ipv6
function parse_verif($valeur)
{
    $parseCode = filtre_nettoyage($valeur);

    if(filter_input($parseCode, FILTER_VALIDATE_EMAIL))
    {  
        $parseCode = filter_var($parseCode, FILTER_SANITIZE_EMAIL);
    }
    elseif(filter_input($parseCode, FILTER_VALIDATE_URL))
    {
        $parseCode = filter_var($parseCode, FILTER_SANITIZE_ENCODED);
    }
    elseif(filter_input($parseCode, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE)) {}
    else {$erreur = false;}

    if(!isset($erreur))
    {
        return $parseCode;
    }
    else {echo 'Les argument passé ne sont pas valides';}
}

// Function debug
function mod_debug($valeur)
{
    echo '<br />';
    var_dump($valeur);
    $memUse = round((memory_get_usage()/1024)/1024, 2);
    echo '<br />',$memUse,' / Mo.';
}

Un "strip_tags" est présent en plus d'un "htmlentities", car j'avais croisé un détournement possible du "htmlentities" corrigé comme cela. Mais impossible de retrouver ce sujet ...
Je ne suis pas persuadé du point de vue pertinent de "utf8_enc" vue qu'il est aussi présent avec le "htmlentities".

Le tout n'est pas codé en Objet, c'est un chois personnel. Mais si vous avez des indications sur un réel besoin de l'utilisation d'Objet sur ce genre de projet. Je suis tout ouie

Remarques retenue :
- Faille dans le filtre shell pour ";" => remède trouvé pour ça "escapeshellcmd"
- Faille dans "fichier" si chemin non dev => corrigé avec "dirname(__FILE__)"
- "ENT_IGNORE" est déprécié (dangereux)
- "strip_tags" inutile a son emplacement, retrait ou mod pour "allowable_tags"
- Retrais du force UTF-8 de htmlentities, conservation de "utf8_enc" a la place

Des retours, des corrections ?
Merci

PS : Wao je n’étais pas venu depuis ... sur ce site, qu'il soit toujours actif est génial. Ca donne envie de reprendre les challenges après toutes ces années.

génial j'arrive !

minitux - 273264

sympa comme idée pour la "petite" communaute

oups . . . un ans de retard 

15443 23424 41452 43215 13114 34311 24311 14415 44151 23433 33151 32311 33131 51151 15133 21142 42241 13315 31154 31145 44421 543

j'ai trouvé "47*****************74" c'est le bon code ?
il est cypt ?

http://www.siteduzero.com/

le sit du zero est ton ami (voir les tuto)

c'est la onte  


hihihi!!!

PS : le .exe c'est chiant je suis sous linux moi

je suis bloqué au premier crackme

snif !!!!!!

help my ... svp ... SOS


MERCI=D

AARRGH !  
j'ai réussi à craquer ce programme..  Youpie .. Mais je n'ai toujours pas le mot de passe ...

Je m'explique: Ne comprenant pas ce charabia, j'ai inversé les instructions 'password acept' et 'password refus'...  Ainsi, mettant n'importe quel mot de passe, il l'accepte et me dis....   "Password accepté, entrer ce pass pour valider sur le site"  
Mouais...  Maintenant il faut que je trouve le mot de pass qui me dira "Password refusé...Essaye encore !"

j'ai fais le meme truque débil ...


c'est un peu con, juste un peu! et sa va beaucoup servir...



oui, bon, je sort

j"ai réussie en 5sc **orthographe !** que je ne sais meme pas **orthographe !** la stéganographie

modif 1: meme pas besoin de savoir les bases pour **orthographe !** cette epreuve

si vous avez reussie au moin une epreuve de logique c'est bon