Bonjour, je pense que mon sujet est a cheval avec PHP je pense.  
En fait je suis en train de faire mon ptit site perso. Sa présentation est tres classique (menu a gauche, banniere en haut, contenu au milieu). J'avais l'habitude d'utiliser les tableaux pour le design du site, avant d'apprendre le css.    
Ce qui fait que je réservais la case du milieu pour le code du contenu. (avec un include). Je passais donc par l'adresse url pour déterminer la page a afficher, avec un $_GET[].  
 
Mais l'inconvénient de ce procédé, c'est qu'a chaque fois qu'on clique sur un lien, la page "index.php?page=..." est en quelque sorte réactualisée, et la pub que je mets en haut de page reouvre sa popup . Bon, en bidoullant le code de la pub je peux me débrouiller pour désactiver la popup, mais ca reste problématique, je pense.
 
Donc ma question, je voudrais savoir comment vous construisez votre site, le "modèle" de vos liens. Moi, ils sont du genre "index.php?page=download.php".
J'espère que vous aurez compris mon problème de noob.  
 
Meric pour votre aide    (et pour la lecture )

À partir du moment où tu n'utilises pas de frames la page entière est rechargée, c'est comme ça.
Les popups c'est mal de toute façon

Ah d'accord, donc ma méthode avec "index.php?page=[...]" n'est pas mauvaise?  
Je comptais au début faire directement des pages index.php, download.php.....

Soit c'est l'index qui inclut la page à afficher, soit c'est chaque page qui inclut le header, le menu et le bas de page, c'est un peu égal : les deux se valent.

d'accord merci, je n'avais jamais pensé a la seconde méthode  

!! Fais gaffe !!
 
Ta façon de t'y prendre avec le php introduit une faille enorme dans ton site... (enfin je crois que c'est exploitable )
 
http://welcominh.free.fr/index.php?page=[...]script.php
 
Moi je ne saurais pas l'exploiter, mais imagine ce qu'on peut faire apres !!
 
utilise directement des pages index.php, download.php
 
ou revois ton code php

ah mince grave, j'avais pas vu cette faille !!!!    
Dans mon interface admin, je vois les pages consultées en récupérant les $_GET. Et parfois je vois des trucs bizarres, y a ptet eu deja plein de types qui m'ont hacké    
Je parlais pas de ce site, mais tu soulèves une tres bonne question car j'allais utiliser la même méthode pour mon nouveau site.  
 

Etant donné que c'est la seule méthode que je sache faire pour l'instant, donc il vaut mieux que j'utilise la 2nde méthode? c'est-a-dire que j'include dans chaque page le header, menu et bas de page?

C'est clair, cette faille là, elle est vraiment exploitable, c'est la porte oùverte à plein de trucs dont le pompage intégral des cookies du visiteur qui passe par un tel lien ou pire l'exécution de n'importe quel code php. Avec un tel trou de sécurité, on pourait pomper l'intégralité des fichiers du site sans interprétation par le serveur ainsi que les suprimer, les modifier à la volé enfin bref, on pourait faire ce qu'on veut de son site.
 
http://welcominh.free.fr/index.php?page=index.php  
est pas mal également dans le genre "je boucle à l'infinis"
http://welcominh.free.fr/index.php?page=
affiche un beau warning
 
Et je dis pas la tronche du http://welcominh.free.fr/index.php [...] r_sexy.gif
 
C'est sur, il manque un ou deux test dans cette page là pour éviter que quelqu'un ne fasse n'importe quoi.

La seconde méthode n'est pas soumis à ce genre de probléme, c'est sur.
pmais pour la premi&ére, il faut juste que tu vérifies que la page ne vienne pas d'ailleur.
Le mieux, c'est encore d'utiliser un case pour savoir quel fichier inclure avec un fichier apr défaut si on demande un fichier interdit.

Un case? Si je me trompe pas il s'agit du switch? merde je dois revoir mes cours    
Sinon ok merci pour le conseil  je préfère tout de même la 1ere méthode. Je sais pas, la 2e me semble plus longue a programmer. Mais c'est seulement une impression    

lol, t'as raison, un switch, moi, j'ai tendance à retenir plus facilement case et pas switch du coup, je sors la doc pour la sintaxe exacte.

Bof, un swtich c'est lourd des que tu commances a avoir pas mal de pages... le mieux c'est un array contenant toutes les pages dispo et apres t regardes dedans si la page appellée doit etre dispo

Bon faudrait sérieusement que ce soit vite corrigé :
http://welcominh.free.fr/index.php [...] efaced.txt
 
Parceque là franchement on pourrait faire de bien jolies choses avec ton site!

esox_ch > J'avais pas pensé à ça.
 
dwogsi > Quand je disais qu'on pouvait faire faire ce qu'on veut a son site.

Ouai mais alors vraiment ce qu'on veut, bon je m'excuse mais, très sincérement, J'ADORE CA!!!

méchaaaaaaant    
Bon je vais essayer de corriger ce probleme assez vite, il suffit d'un ptit test c'est ca?

Voilà oui il suffit d'un test, histoire de voir si la page passée en url existe bien sur ton espace à toi, ou alors à partir d'une liste de pages (comme dit plus haut).

Bon je viens de regarder la source de ton index.php donc voici un extrait :

 
Puis nous avons un peu plus loin :
 

 
Il n'est donc pas étonnant qu'on puisse faire ce qu'on veut. En fait il faut que tu remplace le code cité ci dessus par :
 

 
En gros ca revient au même qu'un switch/case etc...

heu, faudrais quand meme qu'il corrige là !
 
ya des gens bien moin attentionné que nous ^^ ( je ferais rien, j'ai dejà été "entendu" par la gendarmerie pour la même chose - un peu trop amusé )

Bah il y 1 heure j'ai créé un nouveau fichier puis quelque truc dedans puis supprimé ensuite. Bon c'était juste comme ca pour le fun!

[HS] j'ai du poster quelque part sur prog, le detail de mon histoire d'include() ^^ [/HS]

Où? j'veux voir!

 
 
je cherche !

aller, fin du HS !
http://forum.hardware.fr/hardwaref [...] m#t2170996
(10min pour retrouver ce post ! )
@+

Ah bah oui quand tu vide une BDD ca fait pas le même effet au proprio du site. Bon qu'il corrige vite sa faille sinon ca va finir par faire bobo à son site!

c bizare, il me semblais que les include de free empechais ce genre de manip ^^ ( include d'une URL )

Un site dont tu pourrais avoir grand besoin :  
 
http://welcominh.free.fr/index.php [...] ww.php.net

 
lol j'avais fait ca aussi avec google et le topic....

Euh oui c'est vrai que c'est urgent . Mais regardez dans la section remarques et vous comprendrez que je ne peux pas y toucher quand je veux. En principe, je pourrais corriger demain.  
Mais je trouve quand même dommage qu'il faille forcément faire ce genre de choses pour éviter qu'on nous cause du tort....

Bah tu sais avec la faile qu'il y a tu peut modifier tes script quand tu veux lol

 
Pas faux

oui mais je ne sais pas le faire   . Je ne savais même pas afficher le contenu du répertoire courant...  
Bon la c'est corrigé normalement. J'espère qu'il n'y a pas d'autre faille  
Mais bon, c'est un site presque a l'abandon, je suis en train de construire un autre site, qui sera meilleur je pense.

Pour modifier un script avec la faille que t'avais au début, il suffisait d'utiliser les fonction de lecture et d'écriture de fichier. Tu lis le nouveau script dans une page qu'est sur le net et tu l'écris dans un fichier du site (peut être même directement la page d'acceuil )
 
Mais bon, on débute tous un jour. T'as corrigé, c'est l'essentiel.
 
EDIT : Par contre, par contre, pas besoin de ton message d'alerte en javascript, il vaut mieux avoir un message écrit directement dans la page. Elle semblera moins vide et tout le monde le vera le message. (même les 10% d'internote qui n'ont pas javascript d'activé)  
Autre solution vu que la page est faite en php : afficher directement la page d'acceuil.
Derniére solution et qu'est pas plus mal (voire encore mieux) rediriger le visiteur sur la page d'acceuil en cas de demande de page interdite : cherche "refresh" sur le forum, tu devrais trouver ton bonheur.

Vous avez vu qu'il y a une erreur tout en bas de la page?

Vu la taille du texte ca se voit pas trop...
 
Omega2> Pourquoi veux-tu qu'il cherche "refresh"? Autant faire en sorte que la page d'accueil soit affichée sans changer d'url lorsqu'on tente d'exploiter la faille, c'est plus transparent.

Je lui ai proposé les trois principales solutions, aprés c'est a lui de choisir.
 
Quand à l'affichage de la page d'acceuil quelque que soit la demande de page erroné, ca peut porter à conséquence sur le référencement par certains moteurs de recherche : un site contenant trop de pages identiques peut se retrouver plus ou moins déclasser par les moteurs de recherche.
Evidement, là dessus rien n'est certain surtout pour les gros moteurs de recherche qui changent souvent leur recette maison de classement des sites.

Ah oui certes... D'ailleurs ca commence à m'ennerver de devoir conditionner sa méthode de conception d'un site au fonctionnement des moteurs de recherche.

 
bof, je m'en soucis generalement après le dev, et ca pose pas de reel soucis en terme de referencement (exemple avec les quelques site de ma signature, très bien référencé, sans que ca m'ai posé le moindre problème de dev -bon ok, ya pas des 100ène de pages mais ca vas quoi-)

Certes on reste quand même assez libre mais quelques fois on est bien obligé de faire avec, comme dans l'exemple ci dessus...

Oué je viens de remarquer l'erreur. Apparemment qq'un s'est ptet amusé avec mon site. Je trouve ca a la derniere ligne du fichier, même si je sais pas ce que ca signifie la fin:

Bon j'ai enlevé et normalement, ca devrait aller.
 
edit: ah oui, a force, on s'écarte du sujet. Vous m'avez dit que les 2 méthodes de conception que je proposais pouvait être appliquées, du moment que l'on fasse les test nécessaires    
- Mais en existe-t-il d'autres?  
- Laquelle utilisez-vous?
- sur certains sites, la navigation se fait sans que l'url ne change, comment se fesse-t-il? (part le fait que ce soit du flash)
 
merci pour votre aide    et pour d'éventuelles réponses supplémentaires

Des frames?