Ok merci, faut que je fouine un peu.

Sinon j'ai un petit blem concernant les erreurs avec les requêtes préparées, pas moyen de les afficher (avec un $variable->query("MA REQUETE"); ça fonctionne mais pas avec le prepare).

Code:

$db = new PDO("mysql:host=localhost;dbname=madb", "login", "pass");

	$rs = $db->prepare("SELECT * FROM t_provinces WHERE trcuchose_id = ?") or die(print_r($db->errorInfo()));
	$rs->execute(array($_GET['id']));
	
	$r = $rs->fetch();
	
	echo $r['province_nom_fr'];

Tout d'abord bonjour ^^,

Décidant de me mettre un peu à jour, j'ai un peu regardé le nouveau système pour les requêtes SQL; PDO.

A part que c'est de l'objet, je crois que le principe ne change pas vraiment radicalement donc c'est compréhensible même la première qu'on tombe dessus.

Par contre on m'a dit que ce système préparait (sécurisait) les requêtes.

Ça veut dire quoi encore ? Plus besoin de mysql_real_escape_string, htmlspecialschars, de vérifier les ID etc ?


En gros j'ai quelques doutes là dessus (je sais, c'est peut être le fait de voir qu'on prend une variable entrée par l'utilisateur et qu'on ne fait rien dessus qui me dérange. Qui a dit parano ? xP )

Bref, doit je laisser tomber les mysql_query etc ?

[PS: Toutefois, je sais que la "société" restera pour le moment au code procédural, simplement parce que j'ai un collègue qui ne savait pas se servir d'une souris il y a 1 an, qui a buté voir quasi étudier par coeur le cours, qui a failli lâcher plus d'une fois mais qui finalement fait son bout de chemin (et qui dit un grand merci à ce site, bah oui je n'aurai su que lui conseiller de lire le tuto de Mateo et ça l'a débloquer plus d'une fois), alors la POO pour lui ça ne sera pas pour tout de suite. ^^ C'est donc plus à titre personnel que je demande ça]

(reprise de mon message sur le SDZ, le fainéant que je suis n'a pas envie de retaper tout ^^)

Bonjour à toutes et tous.

Je vais tenter d'expliquer mon petit soucis existentiel dans les grandes lignes.

Je me suis mis avec 2-3 collègues à monter une petite boite web.


Il se fait que je reviens de mes cours du soir où nous avons entamé la programmation orienté objet pour le logiciel Flash (donc ActionScript quoi).

La POO m'a toujours assez "déconcentré" car j'ai la nette sensation malgré mes connaissances en PHP procédural, d'être tout simplement et complétement... paumé.


Mais il se fait que les sites web que nous faisons doivent être gérés via des sites d'administrations et soyons clair; c'est TRÈS redondant comme schéma.

J'avais déjà commencé à faire un script PHP qui arriverait tout simplement à me créer le code (et oui, du code pour créer du code, on devient assez fainéant faut dire ^^).

Et puis c'est en parlant avec le prof (j'ai d'ailleurs adoré sa phrase: "Je me suis cassé le cul plusieurs semaines, maintenant je lance le script en buvant mon café, et j'amasse le fric"), qui lui ne fait plus que de la POO, que je me suis demandé ce qui serait finalement le mieux pour ce genre de chose: procédural ou POO ?

Je ne cherche pas un troll comprenez bien, juste que si je peut faire en sorte de réduire le temps de travail et augmenter l'efficacité.

Le truc c'est que je maitrise bien mieux le procédural et surtout ma tête "réfléchit" procédural (quand on me donne un travail, j'ai déja le schéma du code qui se déroule dans ma tête, c'est instinctif ^^), mais j'ai l'impression que la POO peut m'apporter un certain plus mais par contre je n'ai pas du tout cette logique en tête.

Par exemple quand j'ai vu le TP pour le système de news, la première impression que j'ai eu (mis à part le mal de crâne =P) est que je devais taper 2 fois plus de code qu'en procédural et assez de mal à m'y retrouver (une classe d'accord, mais une classe qui apelle une autre etc, ça devient vite bordel, remarquer les fonctions c'est pareil aussi). Pour le même système de news en procédural, y a t-il une RÉELLE DIFFÉRENCE ou bien est ce plus une question de logique et d'organisation qu'autre chose ?

Je ne cherche pas à dénigrer la POO, au contraire, je voudrais savoir si elle peut m'aider vraiment dans mes travaux, si pour des sites web on peut en tirer un réel avantage ou en fait, c'est juste une manière différente de penser son site et qui équivaut tout à fait au procédural.


PS: Toutefois, je sais que la "société" restera pour le moment au code procédural, simplement parce que j'ai un collègue qui ne savait pas se servir d'une souris il y a 1 an, qui a buté voir quasi étudier par coeur le cours, qui a failli lâcher plus d'une fois mais qui finalement fait son bout de chemin (et qui dit un grand merci à ce site, bah oui je n'aurai su que lui conseiller de lire le tuto de Mateo et ça l'a débloquer plus d'une fois), alors la POO pour lui ça ne sera pas pour tout de suite. ^^ C'est donc plus à titre personnel que je demande ça

Gros merci d'avance pour les réponses.

Sur ce, bonne journée.

Salut tout le monde.

Bah voilà, je me suis lancé il y a donc 2-3 ans dans ce grand cambouis rocambolesque qu'est la sécurité informatique, ou plutôt le bidouillage en tout genre (car je ne peux pas qualifier ce que je fais de sécurité informatique).

Comme beaucoup, j'ai commencé par le domaine du web, tout content d'apprendre (même si il m'a fallu le temps, je suis dure de l'oreille mais aussi de la tête ^^).

Et maintenant, à vrai dire je (pardon pour l'expression mais bon) m'emmerde un peu, plus l'impression d'avancer voir même de régresser carrément.

J'ai donc eu l'envie d'apprendre de nouvelles choses, de passer à une autre section.


Les failles applicatives (donc du système et des applications en général si j'ai bien compris, j'espère au moins avoir pigé ça xP ), j'avais déjà un peu lu mais le soucis est que je perds TRÈS vite le cours des choses (bah ouais c'est dirons nous légèrement plus complexe à appréhender qu'un ' OR 1=1).

Pourtant ça a l'air d'être un domaine aimé par beaucoup d'entre vous, mais que je trouve pas vraiment simple d'aborder (surtout que ça fait un bout de temps que je n'ai plus fait de C).

A vrai dire j'ai beaucoup de mal à retenir les notions d'assembleur entre autre (j'ai eu un petit cours là dessus mais pas grand chose, juste les explications des instructions principales, l'existence de la pile mais sans plus, les registres principaux). Ce que je cherche ça serait un tuto assez simple (pour les notions de C, bah je "connais" pointeur, fichier, structure, chaine de caractères etc la base quoi, je ne sais pas si c'est suffisant). Je sais que ce que je demande parait très bizarre et qu'on va certainement m'envoyer péter, mais ça m'énerve de lire 3 lignes puis de me retrouver complétement paumé à ne plus savoir ce que je fais où de quoi on parle exactement (et puis les questions à la con qui partent dans tout les sens sans pouvoir les poser... xP ).

Bref si il existe par exemple un "Les failles applicatives ('le début des failles applicative', soyons pas trop gourmand non plus x) ) pour les nuls", je suis preneur. Je pourrais demander à quelqu'un c'est vrai mais j'ai pas envie de le harceler de questions stupides (car ça, je risque d'en avoir et beaucoup xP).

Google est ton ami ça je sais, ma logique et moi par contre c'est autre chose... ^^ !

Merci d'avance (et bravo) à ceux qui auront lu.  

Sur ce, bonne soirée à tout le monde.  

Jusqu'a présent personellement je n'ai trouvé aucun moyen de bypasser ce genre de protection mais encore une fois ça dépend de beaucoup de chose.

Sur un formulaire de connexion, perso je ne pense pas être capable de bypasser quoi que se soit, par contre si ta requête est plutôt:

Code:

$id = mysql_real_escape_string(htmlspecialchars($_GET['membre']));
mysql_query("SELECT * FROM membres WHERE id = ".$id);

Dans ce cas là, tu ne sera pas protegé malgre l'utilisation de ces fonctions; on peut très bien faire une injection SQL (union par exemple), sans utiliser le moindre guillemet ou caractère spécial.

Et la variable n'est pas vérifiée ça passera.

Un intval règle le problème (oui pour les puristes (on m'avait même dit que je devais faire une regex, et vérifier que le nombre ne soit pas trop haut... XD), certains trucs passeront mais j'aimerai qu'on me montre une fois si l'on peut faire une injection SQL sans la moindre lettre rien qu'avec des chiffres, ça risque d'être dur... XD).

Enfin je ne suis franchement pas l'expert en la matière. Si les experts peuvent confirmer ou corriger ce que je dit, ça serait sympa. ^^

Ne pas utiliser de librairie ?

Bah le blem c'est qu'il me semble que la seule façon de manipuler des images en PHP, c'est de passer par GD, du moins c'est la seule que j'ai entendu parler.

Maintenant je me goure peut être (voir très probable vu mon faible niveau XD).

Fouiller les octets bah oui c'est le but au final mais faut quand même analyser l'image avant (pas à la main j'espère si c'est ce que tu sous entends ! XD Remarquez y a moyen mais 120x120 -> 14400 pixels à analyser, ça fait beaucoup... ).

Pourquoi ? Très bonne question à laquelle je vais tâcher de répondre. ^^

Hello,

J'ai comme qui dirait un p'tit soucis un peu embetant pour cette épreuve.

Je pense (bien dit je pense, je suis plutot long à la detente donc il est possible que je fasse fausse route) avoir compris la méthode, même temps l'indice est on ne peut plus clair.

Je code donc mon petit programme en PHP (seul langage que je maitrise suffisamment pour ce genre de chose) avec donc la librairie GD (manipulation d'image.

Première chose à faire: ouvrir l'image -> Et ça bloque avec le bmp ! +p

Jpg, gif, png, pas de soucis, ça s'ouvre et ça s'éxecute mais que dalle avec le bmp, soit disant fichier non valide alors que je n'y ai strictement pas touché.

Erreur:
Warning: imagecreatefromwbmp() [function.imagecreatefromwbmp]: 'stega18.bmp' is not a valid WBMP file in /var/www/newbie_contest/stegano/decrypt_image.php on line 6

Bref la suite plante donc forcément.

Si j'ai bien compris le truc, une conversion en jpg, gif ou png ne donnera pas du tout le même résultat, donc obligé de garder le fichier au format BMP.

Donc petite question, est ce réalisable en PHP ça je suppose que oui, mais réalisable en PHP avec la librairie GD ça l'est ? (et qu'est ce qui foire dans ce code, c'est pourtant pas sorcier d'ouvrir une image... xD ).

Ah oui, je pense que ça n'a aucune importance mais bon, je travaille sous Linux.

Si quelqu'un peut m'aider, ça serait vraiment sympa (surtout que je pense avoir la suite mais je ne peux pas tester puisque l'ouverture plante... J'ai pas l'air con n'empêche... ^^' ).

Merci d'avance.

Pas de blem', je te laisse mon adresse email: kev8900 [at] hotmail [dot] com

Pour les MP c'est 150 points qu'il faut.

Je ne suis surement le super expert en la matière mais envois ton code, j'y jetterai un coup d'oeil. 

J'ai eu également dur aussi au début: "Ouah facile... mais comment on se connecte au fait... ? ^^'

Merci pour les réponses.

Bah disons que j'ai du mal avec Debian, pas pour l'installation mais plutot par le fait que j'ai par exemple voulu installer plusieurs fois les pilotes Nvidia et que, à mon avis par une mauvaise config' ou une erreur je sais pas quoi, l'interface graphique ne fonctionne plus du tout et faut dire en ligne de commande je suis un peu paumé. J'dois donc chaque fois réinstallé le tout via une netinstall, c'est plutot chiant.

J'ai demandé de l'aide sur le forum Debian mais ce qui est marrant c'est que certains te disent ça comme si tu étais expert en informatique et que tu savais tout faire marcher or j'en suis franchement pas encore là. Oui je sais me débrouiller mais Linux, je connais pas vraiment je dirais, je sais utiliser plus ou moins mais sans plus pour le moment (malgré que c'est désormais mon système principal, ça c'est clair et net).

Donc Ubuntu m'aidait assez bien de ce coté, et ça m'empêchait pas d'apprendre. Debian l'est par contre un peu moins quand on a mon niveau (en gros, un faible niveau quoi =P ).

Tout d'abord bonjour.

J'ai découvert Linux récemment, enfin j'y suis vraiment passé récemment (3 - 4 mois).

J'ai commencé comme beaucoup par Ubuntu avec laquelle j'ai bien accroché malgré parfois quelques soucis matériel.

Je m'en sers pour tout (surf, programmation, etc).

Curieux, j'ai voulu cette semaine aller voir du coté du "Papa", j'ai nommé Debian.

J'ai réussi à installer la version stable (Lenny actuellement) mais ce qui me gêne était l'ancienneté des paquets (ouaip, ça je savais pas, maintenant je sais =P ).

J'ai donc voulu tenter d'installer Sid (la version unstable) mais sans trop y parvenir.

Donc bon voilà, j'entends pas mal d'avis me disant que je devrais passer à Debian parce que Ubuntu est trop "grand public", sauf que l'ancienneté des paquets de la version stable (Lenny)  me gêne, Sid bah apparemment faut faire les mises à jours très régulièrement et y a toujours le risque que ça foire et testing bah plus ou moins pareil. Ubuntu c'est user friendly, mais je suis parvenu à le faire fonctionner sans soucis.

Donc pour faire autre chose que d'administrer des serveurs, est ce que Debian peut convenir (avec un matériel plus ou moins récent, ordi de 2008 à peu près) sachant que je n'ai pas grande expérience dans les systèmes Linux (mais que j'ai adopté, ça c'est sur).

Et autre chose, Ubuntu est t'il  vraiment une version simpliste de Debian ou bien peut on faire les même choses avec les 2 (sachant que je n'ai pas besoin d'administrer des serveurs).

Si je demande ça ici c'est pour avoir des avis de personne qui utilisent les 2, ou bien qui ont fait le saut. Je suis assez indécis entre le fait de revenir à Ubuntu ou de continuer à m'arracher les cheveux sur Debian.

Merci d'avance.

Kev.

Salut.

Un collègue est en train de créer un site web humanitaire pour une entreprise, et celle ci souhaite intégrer un système de paiement en ligne, plutôt de dons en ligne (qui a dit Paypal ? xD). Ouaip bah c'est effectivement vers Paypal qu'il s'est tourné.

Après avoir galéré dans leur truc de test, on a finalement mis en place et nous recevons bien les paiements.

Sauf que nous voudrions récupérer certaines infos encodées (nom prénom adresse etc) afin de tenir une petite compta directe sur le site. Et c'est là que ça merde: impossible de récupérer ces infos, comme si ça n'était pas envoyé.

Un des tutos suivis: http://www.lafermeduweb.net/billet/tutorial-integrer-paypal-a-son-site-web-en-php-partie-2-276.html

Ce que j'ai remarqué c'est qu'il faut que le paiement soit "valide", or en faisant un petit echo (PHP comme langage donc), de l'entête, bah je remarque un beau gros INVALID à la fin, j'ai eu beau modifier les options, pas moyens de récupérer la moindre infos (ça serait simple si le visiteur devait se connecter sur le site avant de faire son paiement mais comme c'est un système de don je me vois mal l'obliger à s'inscrire, surtout que souvent dans ce cas ils empruntent le raccourci clavier ou graphique Alt+F4 ).

Ca fait 2 semaines qu'il bloque dessus et j'ai peur qu'il devienne chauve (oui bon, il est 2 fois plus âgé que moi et y a 1 an à peine, ouvrir ou copier un dossier était de la sorcellerie pour lui, mais je compte pas les jours passés à expliquer... =P ).

Bref si quelqu'un à une solution, ça serait sympa (si vous avez un autre système semblable mais tout aussi efficace je suis bien sûr preneur).

Merci d'avance.

J'ai réussi les 2 épreuves en question, et c'est justement en voyant des failles comme ça que je me dis que ce n'est pas super.

Maintenant à choisir entre un .htaccess ou mes codes très certainement foireux... le choix sera à mon avis vite fait mais j'aimerai ne pas me gourer (pas facile d'expliquer à un client que vous avez commis une gourde niveau sécurité et qu'il faut qu'il prévienne tout ses clients de changer de mot de passe et d'adresse email XD).

Faut encore m'excuser pour mon ignorance, comme dit je débute. ^^

N'hésitez pas à envoyer des mails privés si ça aide trop pour les épreuves (ce qui n'est pas faux je dois dire effectivement, je n'y avais pas pensé et ce n'était pas le but de faire un spoil).

Encore merci d'avance.

Bonjour.

Je commence tout doucement en tant que professionnel dans le monde du web.

Sur les 2-3 sites créé au cours, j'utilisais un dossier admin donc l'accès était protégé par une variable de session (via un formulaire de connexion avec login et mot de passe stockés dans la base de données, si tout est bon on forge la variable).

Seulement voilà, si le fichier principal est protégé (et encore, à mon avis y a de grosses failles sûrement), le reste de mes fichiers et sous-dossiers eux étaient donc accessible (à moins de faire chaque fois des vérifications, ce qui prend du temps inutilement, et puis impossible de faire du code php sur un fichier .jpg ou une vidéo à ce que je sache).

J'ai testé il y a quelques jours une autre façon de se connecter que par un formulaire avec variable de session: le fichier .htaccess (qui à le gros avantage de protéger le tout, et ça, c'est un gain de temps considérable).

Étant débutant en la matière, j'aurai voulu savoir si le .htaccess est réellement efficace pour des dossiers sensibles tel que le dossier admin, ou bien si il vaut mieux laisser tomber et trouver autre chose, et je profite donc des avis des experts ici présent.

Et aussi si possible, me donner un exemple de .htaccess correctement coder (pour ne pas avoir la bonne faille .htaccess, car là autant ne rien mettre ça revient au même).

Merci d'avance pour vos réponses.  

Après 2 jours à m'arracher les cheveux, j'y suis enfin arrivé !

XP sur un disque dur externe: Oui c'est possible !

J'indique la solution pour ceux que ça intéressent.


j'ai tout d'abord tenté le tuto de ngine (http://www.ngine.de/index.jsp?pageid=4176) :

Ca peut marcher je crois mais moi ça plantait après l'installation, lors du 1ier boot. Et je peux dire que j'y ai passé quelques heures.

La solution je l'ai trouvé avec le programme USBoot : http://www.usboot.org/tiki-index.php

En réalité ce programme se charge de copier une installation XP (copier coller des fichiers en gros), sur le disque dur externe tout en prenant soin de modifier certains fichiers pour permettre le boot.

  Démarrage réussi sans le moindre écran bleu de la mort ! ^^

Je détaillerai surement plus ce post demain (car ça m'aurait fait plaisir aussi que quelqu'un qui ai résolu le problème indique la marche à suivre, je ne vois donc pas pourquoi je ne le ferai pas).

Et pour le temps de démarrage: aucune différence pour ma part, c'est tout aussi rapide sous USB qu'en interne (et pourtant je n'ai pas la bête de course).