rendre les arguments illisibles dans l'URL

rendre les arguments illisibles dans l'URL - PHP - Programmation

Marsh Posté le 15-03-2005 à 16:00:11    

j'ai un menu dont les liens HTTP pointent sont des pages PHP.
ces pages PHP affichent leur contenu en lange FR ou US suivat un argument passé dans l'URL :
 
<a href="mapage.php?langue=fr">
 
je voudrais que cet argument langue=fr ne soit pas lisible dans l'URL, remplacer ca par des chiffres ou autre chose.
 
comme c des liens et non des boutons de formulaires je peux pas utiliser POST .
 
comment je peux faire ?

Reply

Marsh Posté le 15-03-2005 à 16:00:11   

Reply

Marsh Posté le 15-03-2005 à 16:03:44    

remplacer tes valeurs directement par des chiffres et faire une instruction "switch" dans la page qui reccupere les valeurs
 
ou de l'url rewriting?

Reply

Marsh Posté le 15-03-2005 à 16:07:30    

jokaritaff a écrit :

j'ai un menu dont les liens HTTP pointent sont des pages PHP.
ces pages PHP affichent leur contenu en lange FR ou US suivat un argument passé dans l'URL :
 
<a href="mapage.php?langue=fr">
 
je voudrais que cet argument langue=fr ne soit pas lisible dans l'URL, remplacer ca par des chiffres ou autre chose.
 
comme c des liens et non des boutons de formulaires je peux pas utiliser POST .
 
comment je peux faire ?


 
 
bah tu remplaces "langue" par "zorglub" et "fr" par "pomme"...et tu fais la conversion dans ta page cible...[:skeye]


Message édité par skeye le 15-03-2005 à 16:07:42

---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 15-03-2005 à 16:12:39    

wé ji ai pensé au switch
mais je me demandais sil existait pas des fonctions genre crypt()

Reply

Marsh Posté le 15-03-2005 à 16:14:58    

Tu peux tjrs t'amuser à faire un md5 (ou autre connerie du style) du nom de tes paramètres, mais après il faut le gérer sur la page cible...[:skeye]
'fin bref, je vois déjà moyennement l'intéret de cacher ces variables, mais là ça devient franchement tordu...


---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 15-03-2005 à 16:28:30    

tordu non
c plutot une securité
imagine que tu envoie comme argument une données un peu confidentielle (le nom de kkun, un mot de passe, etc...)
si ta pas d'autre choix que de l'envoyer dans l'URL, il faut bien systeme pour rendre cette données illisble.
 
c vré que on peut créer un systeme qui reprend MD5, ou chiffrer chaque caractere ASCII de la valeur de l'argument.
et ensuite decoder ce systeme.

Reply

Marsh Posté le 15-03-2005 à 16:30:30    

jokaritaff a écrit :

tordu non
c plutot une securité
imagine que tu envoie comme argument une données un peu confidentielle (le nom de kkun, un mot de passe, etc...)
si ta pas d'autre choix que de l'envoyer dans l'URL, il faut bien systeme pour rendre cette données illisble.


 
Si ta sécurité c'est ça, jamais je ne laisse la moindre info sur ton site.[:w3c compliant]
On ne passe PAS de données confidentielles dans l'url. Et si on y passe des paramètres un peu sensibles, on vérifie leur cohérence à l'arrivée.


---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 15-03-2005 à 16:35:11    

skeye a écrit :

Si ta sécurité c'est ça, jamais je ne laisse la moindre info sur ton site.[:w3c compliant]
On ne passe PAS de données confidentielles dans l'url. Et si on y passe des paramètres un peu sensibles, on vérifie leur cohérence à l'arrivée.


 
+1
 
toutes les variables issues des utilisateurs doivent être filtrées à l'arrivée, exemple si c'est un int que tu attend, tu le passe dans la fonction setint() etc...
Les arguments passés en url ne doivent jamais contenir de données confidentielles, imagine se qui se passe lorsque google passe sur ton site par exemple... ;)


---------------
http://www.hardware404.com L'actualité hardware francophone en continu
Reply

Marsh Posté le 15-03-2005 à 16:36:37    

lol, c qu'un exemple
jamais je ferai un systeme aussi passoire !!
 
mais j'en connais qui en sont capables et qui helas ne reagiraient pas comme nous


Message édité par jokaritaff le 15-03-2005 à 16:38:32
Reply

Marsh Posté le 15-03-2005 à 16:38:10    

jokaritaff a écrit :

lol, c qu'un exemple
jamais je ferai un systeme aussi passoire !!


 
Alors c'est un mauvais exemple...[:skeye]
Il n'y a rien qui justifie vraiment de cacher ce que tu mets dans l'url. Si tu veux cacher les choses, tu les passes autrement.


---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 15-03-2005 à 16:38:10   

Reply

Marsh Posté le 15-03-2005 à 16:40:17    

c sur que par rapport a la realité, c un mauvais exemple, mais peut etre que des debutants qui ont aucun enotion de securité web pourraient se poser la question.
 
ma question peut etre justifiées si on veut passer des arguments mais qu'on veut etre le seul a en connairte la signification.

Reply

Marsh Posté le 15-03-2005 à 16:41:42    

jokaritaff a écrit :

c sur que par rapport a la realité, c un mauvais exemple, mais peut etre que des debutants qui ont aucun enotion de securité web pourraient se poser la question.
 
ma question peut etre justifiées si on veut passer des arguments mais qu'on veut etre le seul a en connairte la signification.


bah dans ce cas tu remplaces tes noms par a,b,c et tes valeurs par 1,2,3 et basta...[:skeye]


---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 15-03-2005 à 16:48:34    

c globalement ce que je compte faire

Reply

Marsh Posté le 15-03-2005 à 16:49:55    

jokaritaff a écrit :

lol, c qu'un exemple
jamais je ferai un systeme aussi passoire !!
 
mais j'en connais qui en sont capables et qui helas ne reagiraient pas comme nous

[:c17]  
 
te prends pas pour ce que tu n'es pas. car tu parles des décrpyter un algo de hachage, ce qui prête à sourire...

Reply

Marsh Posté le 15-03-2005 à 16:50:29    

Simple, tu crées un <form method=post>, des <input type=hidden> et ton <a href="javascript : document.form.submit()>


Message édité par robbyone le 15-03-2005 à 16:51:28
Reply

Marsh Posté le 15-03-2005 à 16:52:26    

robbyone a écrit :

Simple, tu crées un <form method=post>, des <input type=hidden> et ton <a href="javascript : document.form.submit()>


Et si le visiteur désactive le javascript tu as plus un seul lien qui marche. Trop cool.


---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 15-03-2005 à 16:52:53    

beuark beuark JS [:bbcmoi]  :whistle:

Reply

Marsh Posté le 15-03-2005 à 17:02:12    

je serai pas aussi categorique que LKoLRn par rapport au JavaScript, langage qui m'est souvent fort utile, mais je suis d'accord avec lui sur plusieurs points.
 
je l'utlise :
- pour des effets visuel pour guider un internaute mais qui influence pas l'exploitation du site
- preske uniquement quand je developpe des intranet et donc que je sais a l'avance quel navigateur sera utilisé
 
il m'arrive aussi de faire des controles indispensables (calculs de marges de prix pour eviter des dumpings) de formulaires en JS, mais je prend soin de rendre le formulaire envoyable que si js est activé (c le JS qui envoie)
 
pour faire des controles qui marchent a tous les coups, faut toujours les faire dans un langage coté serveur au moins t sur que quelque soit le navigateur utilisé par l'internaute (javascript activé ou non), les controle seront fait
 
a mes debuts où je faisais des sites, j'en suis arrivé a lexemple qu e tu donne RobbyOne. C'est certes pratique dans le principe mais je me souviens que g pris ma claque le jour où j'ai testé mon site avec Mozilla (avec javascript desactivé) et que mon site etait inutilisable.


Message édité par jokaritaff le 15-03-2005 à 17:05:11
Reply

Marsh Posté le 15-03-2005 à 17:32:34    

Je disais ça pour les raisons qu'a évoqué skeye... JS ça peut être sympa en effet, pour du graphisme c'est certain c'est dja moins horrible que du html, même dynamisé, mais après ya des abus quand il s'agit du fonctionnement de base des applis...  
 
/*OFF  
Un exemple 3615 malife: cette année c'est ma dernière année d'études (même si g traîné en route^^), on va bientôt être ingés en informatique et donc les dirlos nous ont filé l'intranet de l'école à refaire, histoire qu'on voit les phases de pilotage/analyse/conception/réalisation/intégration/blablabla concrètement et sur toute l'année... Donc nous on conçoit, on sépare par modules, et on répartit le taf de réalisation, etc...
Eh ben les 2 gars qui s'occupaient du module 'Identification' l'ont fait en JS ces gros abrutis (c po méchant c des potes^^).
Résultat: tu désactives JS et boom fini l'Intranet... [:aga] Et ces mecs vont être ingés dans quelques mois... Moi po comprendre...
OFF*/

Reply

Marsh Posté le 15-03-2005 à 17:34:20    

Ok !
Je proposait ça en fonction de ton environnement et de ton besoin.
Sachant que d'après ce que j'ai lu ... les messages ne faisaient que tourner autour du pot, demander pourquoi tu veux faire ça, dire qu'on ne peut pas le faire ou des "taka" en rafales qui ne te proposaient rien, donc ...
 
Sinon tu peux aussi passer ton code en jsp et gérer les événements en java pur ! Ca fait un peu énorme comme solution pour juste cacher des paramètres, non ? Genre un bazoka dans chaque main pour exploser une mouche !

Reply

Marsh Posté le 15-03-2005 à 17:34:49    

lkolrn a écrit :


Eh ben les 2 gars qui s'occupaient du module 'Identification' l'ont fait en JS ces gros abrutis (c po méchant c des potes^^).
Résultat: tu désactives JS et boom fini l'Intranet... [:aga] Et ces mecs vont être ingés dans quelques mois... Moi po comprendre...
OFF


 
[:moule_bite]


---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 15-03-2005 à 17:36:15    

robbyone a écrit :

Ok !
Je proposait ça en fonction de ton environnement et de ton besoin.
Sachant que d'après ce que j'ai lu ... les messages ne faisaient que tourner autour du pot, demander pourquoi tu veux faire ça, dire qu'on ne peut pas le faire ou des "taka" en rafales qui ne te proposaient rien, donc ...


 
[:mlc]
Les messages lui avaient largement donné de quoi se démerder.
Et non, ta solution n'était pas bonne...quant au java, je commente même pas...[:kiki]


Message édité par skeye le 15-03-2005 à 17:36:28

---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 15-03-2005 à 17:40:37    

oué ya ce quil me fo pas de pb.
ca me fé une base de reflexion
merci qd meme Robby
Quant a Java, meme si c faisable ca reviendré a ecraser une mouche avec une enclume et de plus je c po coder en Java (mais l'intention est bonne)

Reply

Marsh Posté le 15-03-2005 à 17:41:03    

skeye a écrit :

...quant au java, je commente même pas...


 
Sûr quand on ne connait pas, MONSIEUR le donneur de leçon !


Message édité par robbyone le 16-03-2005 à 10:26:33
Reply

Marsh Posté le 15-03-2005 à 17:47:26    

MONSIEUR le donneur de leçon ! <---- je dois me sentir concerné ?

Reply

Marsh Posté le 15-03-2005 à 17:51:14    

Bien sûr que non ! Mais tu as répondu si vite que ton message s'est inséré avant le mien, navré JokariTaff !

Reply

Marsh Posté le 15-03-2005 à 18:06:13    

robbyone a écrit :

Sûr quand on ne connait pas, MONSIEUR le donneur de leçon ! (skeye)


 
[:mlc]
C'est quoi ton pb, à la fin?
Oui, je connaissais ta solution, mais non, ça n'en fait pas une bonne solution, pour les raisons données plus haut, point barre.


---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 15-03-2005 à 18:11:04    

merci a tous pour vos idées. ca a fini par conforter et murir les miennes
du coup j'ai trouvé un systeme

Reply

Marsh Posté le 15-03-2005 à 18:17:46    

bah voila, tout est bien qui finit bien :whistle:

Reply

Marsh Posté le 15-03-2005 à 19:10:02    

jokaritaff a écrit :

lol, c qu'un exemple
jamais je ferai un systeme aussi passoire !!
 
mais j'en connais qui en sont capables et qui helas ne reagiraient pas comme nous


 
:lol:
 

jokaritaff a écrit :

c sur que par rapport a la realité, c un mauvais exemple, mais peut etre que des debutants qui ont aucun enotion de securité web pourraient se poser la question.
 
ma question peut etre justifiées si on veut passer des arguments mais qu'on veut etre le seul a en connairte la signification.


 
 
re- :lol:
 
 
Pardon :sweat:


---------------
Gamertag: CoteBlack YeLL
Reply

Marsh Posté le 15-03-2005 à 19:58:24    

si tu juge, dapres ces extraits, que je me considere comme un pro de la securité web, alors ta du te tromper de forum.
 
mais bon vu que sur Hfr ya toujours des gars qui se ramene pour railler sur les autres et pour surtout rien apporter de neuf, alors vazy eclate toi.

Reply

Marsh Posté le 15-03-2005 à 20:07:00    

surtout que le topc méritait d'etre clot, et que le message de LKoLRn allait très bien dans ce sens...


---------------
- Xav - ...There are no crimes when there are no laws... -- Xav's World
Reply

Marsh Posté le 15-03-2005 à 22:53:48    

il se situe où votre souci ?

Reply

Marsh Posté le 16-03-2005 à 08:24:16    

jokaritaff a écrit :

si tu juge, dapres ces extraits, que je me considere comme un pro de la securité web, alors ta du te tromper de forum.
 
mais bon vu que sur Hfr ya toujours des gars qui se ramene pour railler sur les autres et pour surtout rien apporter de neuf, alors vazy eclate toi.


 
Rhooo ça va, fais pas ta vexée ;)
 
Si on ne peut plus déconner ... :pfff:


---------------
Gamertag: CoteBlack YeLL
Reply

Marsh Posté le 16-03-2005 à 10:00:51    

Dj YeLL a écrit :

Rhooo ça va, fais pas ta vexée ;)
 
Si on ne peut plus déconner ... :pfff:


 
genre  :heink:  :pfff:

Reply

Marsh Posté le 16-03-2005 à 10:41:41    

On peut dire qu'il y en a qui ont le moral en venant sur HFR ...
 
Excuse-moi d'être de bonne humeur aujourd'hui ... pas obliger de flinguer le moral des autres non ?
 
Allez, discussion close.
 
++


---------------
Gamertag: CoteBlack YeLL
Reply

Marsh Posté le 16-03-2005 à 11:31:41    

jokaritaff a écrit :

tordu non
c plutot une securité
imagine que tu envoie comme argument une données un peu confidentielle (le nom de kkun, un mot de passe, etc...)
si ta pas d'autre choix que de l'envoyer dans l'URL, il faut bien systeme pour rendre cette données illisble.
 
c vré que on peut créer un systeme qui reprend MD5, ou chiffrer chaque caractere ASCII de la valeur de l'argument.
et ensuite decoder ce systeme.


 
qq'un peut aussi bien reutiliser ton md5 plutôt que la valeur en clair, ca ne fera pas de difference.  ;)


---------------
MZP est de retour
Reply

Marsh Posté le 16-03-2005 à 11:42:10    

si je fais un ciffrage MD5 c sur que kkun peut copier mon chiffrage et le décoder avec un décodeur MD5
c pour ca que je compte me baser sur un systeme MD5-like  mais pas utiliser MD5 directement
comme ca j'aurai un systeme non decodable
 
enfin de toute facon mon site c pas le FBI donc je vé aller chercher midi a 14h.

Reply

Marsh Posté le 16-03-2005 à 11:50:07    

jokaritaff a écrit :

si je fais un ciffrage MD5 c sur que kkun peut copier mon chiffrage et le décoder avec un décodeur MD5


 
On parie? [:klem3i1]


---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 16-03-2005 à 11:52:15    

jokaritaff a écrit :

si je fais un ciffrage MD5 c sur que kkun peut copier mon chiffrage et le décoder avec un décodeur MD5

[:stukka]  

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed