Bonjour,
 
je dois faire un panier virtuel pour un site, la fonction paiement sera attribuer à un TPE externe...
Et les informations sur les clients ne seront pas stocké sur le serveur, elle seront juste envoyer par mail au webmaster du site.
Et donc j'aimerais faire un panier assez sécurisé, j'ai déja céer une partie du panier, et je m'interroge donc sur la sécurité d'un tel genre de code.
 
Déja j'ai trouvé un bug si on passe le prix par l'url, car dans ce cas, le prix peut être modifier... Donc pour palier à ce probleme le prix est stocké dans la base de donné avec les info du produit, et je ne passe dans l'url que le numéro du produit et ensuite plus loin dans le code on se connecte à la base sql pour avoir le prix.
 
Donc j'ai déja élliminé ce bug, mais à part celui là je n'en voit pas d'autre et j'aimerais avoir votre avis...
 
Merci d'avance

Ah lala faut passer les variables par POST et non par GET...
 
Et si tu n'as pas de Formulaire tous le temps.
Renseigne toi sur les $_SESSION okay...(cest encore mieux)
 
Voila bon courage...

Pour les sessions je me suis déja renseigné, mon panier fonctionne.
Et pour l'histoire du get et du post, je pense que j'ai pas envie de mettre des formulaires partout, surtout si c'est pour passer juste une id non ?
Enfin c'est un avis perso...
Mais moi ce qui m'intéresse c'est juste la sécurité, entre post et get y a que l'invisibilité des variables post qui est bien, mais ca ne change rien à la sécurité car si on peut passer par les variables GET alors on peut passer par les variables POST. Il suffit de prendre le code source et de copier les variables du formulaire et pis de se faire une page en local qui renvoie sur la page du site. C'est juste un peu plus long...

par GET va vas tres bien comme t'as fait, le POST pour ajouter un produit à un caddie...pas trop d'interet
ajoute juste une quantité pour le produit en +
 
 
 

Commme ca sans code source ni possibilité de tester ton truc on peut rien te dire ... Faut qu'on puisse l'essayer

Ben alors SESSION parce que sinon il y a rien pour évité de ce faire changé les variables.

Et un bricolage de plus sur un site de commerce en ligne, UN !

sircam, ca a plutot l'air d'etre un TP donné en classe a voir ... Mais faut se rejouir Je te dis pas combien de tunes on peut se faire grace aux webmasters incompétents

On rigole, mais c'est vrai qu'il est dur pour les débutants de savoir si leur site est oui ou non protégé...
 
Certains pense, je vois plus rien c'est bon...
jai mis en Post c'est bon...
C'est tellement illusoire...mais en même temps, c'est aprés s'être fais bai...
 
Qu'on s'intéresse vraiment à la sécu de son site.

Si c'est un TP, c'est acceptable puisqu'il ne demande pas de solution tte faite. Mais ce n'est pas la première fois qu'on répondrait "c'est pour un TP" alors que c'est en réalité pour un site en production.
 
esox> Comme nous sommes des gens honnêtes, nous ne profitons pas de ce genre de failles. Par contre, ce qui est certain, c'est que ce genre de bricolage peut causer des préjudices énormes aux clients.
 
Et je ne parle pas de l'image que ça donne.
 
Quand j'explique autour de moi pq je limite mes paiements sur internet, on me traite de parano. Les gens devraient faire un tour sur la rubrique PHP de ce forum et comprendraient bcp de choses.

Oui, c'est vrai...
 
Beaucoup trop de site pour minimiser les coups font ainsi..
jusqu'au jour ou!!!
 
Tant pis pour eux...ce qui est malheureux c'est que la sécurité des clients est elle aussi mis dans la merde...
 
Enfin, je pense que bientot il y aura un peu plus de loi la dessus...

 
Recemment j'ai acheter un truc sur le net, et suite a une mauvaise gestion (avec JS desactivé un de leur controle ne marche pas) je me suis retrouvé avec à peu pres le double de ce que j'ai commandé, au prix "du simple". Je leur ai envoyé un email pour leur signaler la faille, ils ont meme pas jugé necessaire de me répondre ...  
Maintenant, je ne vais pas re-utiliser la meme faille parceque je trouve ça malhonnete, mais j'ai decidé que ce que j'ai reçu, je ne le renverrai pas tant pis pour eux.  
 
Tout ça pour dire, ce genre de webmaster incompétent porte un grand préjudice aux client mais aussi à lui meme (comme dans mon cas). Et dans les 2 cas ça porte prejudice à la profession ... En résumé : Il faudrait un examen d'acces à la profession

Oui mais internet est un monde libre de donées...
 
On peut rien y faire...

Oui oui je gere aussi la quantite par les variables de session.
Quand j'aoute un produit il cherche dans la variable de session si il n'existe pas déja si c le cas, il incrémente sa quantité.
Et dans l'affichage du panier y a un plus et un moins pour incrémenter ou décrémenter, voir supprimer...
Enfin ça c'est pas trés important, mais en faite le gars pour qui je dois faire ce panier a un pti probleme avec son panier paypal qu'il a fait lui meme, car comme le bouton pour ajouter le produit au panier est un formulaire il suffit de prendre ce code de modifier l'endroit ou il y a marquer le prix de mettre ce que l'on veut et de lancer la page html et la on peut acheter un truc qui vaut 300€ pour 0€...
C'est pour ça que je recherche des moyens pour être sécurisé.
Donc moi j'ai pensé passer par la base de donnée pour avoir le prix au lieu de le passer par POST ou par GET (Ce qui ne change rien)....
 
PS: Je déjeune et je met une version en ligne pour que puissiez tester...

Comme promis voilà la page de teste :
http://zecreations.free.fr/speedmi [...] /liste.php
Evidemment y a que la liste des produits et le panier qui fonctionne la partie commander n'est là que pour mes essai perso.

tu n'as pas à stocker le montant dans un formulaire, juste l'id du produit
 
tu peux aussi vérifier la provenance du formulaire facilement

Oui c'est bien ça... et dans ce cas je n'ai pas encore trouvé de faille.
 

Oui justement je me suis dit que paypal était con de pas le faire, mais j'ai pas plus approfondie.
C'est sur que ce serai un bon attout je vais m'informer sur la facon de le faire, mais j'ai cru lire quelque part que avec un plugin de mozilla, on pouvait de modifier le code source d'une page et faire coire qu'il était exécuté à partire du site, ah je sais où j'ai lu ça, c'est quand j'ai lu une news qui disait que la nouvelle protection de microsoft était déja cracké à l'aide d'un doe javascript....
Mais je pense que je vais le faire quand même car avec la vérification de la provenance de la page, il faut vraiment ne pas être newbie pour passer.
Merci pour ton aide, si quelqu'un a une autre idée je suis preneur!
 
A et pour ce qui se dise que je me fais de l'argent sur le dos de gentil petit commerciaux qui, je dirais que je ne suis payé que 50€ ca fait ptet bcp pour certain (Mais c facturé bcp plus chère chez n'importe qui..., mais moi c'est plus pour aider,(pour l'instant mon code est plus sécurisé que le bricolage qu'il a fait avec paypal!), et en même temps je me forme... On est tous les deux gagnants...
 
@+ et merci encore.

 
T'en a encore beaucoup de tirades aussi stupides a sortir? ... Ecoute apperemment tu ne connais pas le sujet que tu traites, soit on peut pas tous etre des experts, mais alors fait nous une faveur ... Tais-toi ... tais-toi... arrete de sortir des trucs sans queue ni tete...

Dis moi ce qui est stupide la dedans si tu est tellement bon ??? Est on apelle ça un forum mais à chaque fois qu'on demande un conseil on se fait rétamé par des gens qui se dise expert!!!
 
J'adore ce genre de réponse...
Y a un jour jsui venu demander un avis sur un site dans la partie design et on m'a répondu tableaux c'est pas bien !
Le jour ou il sera interdit ça sera pas bien ! Enfin depuis je fais la plupart de mes site en css, mais ce n'est quand même pas une réponse.
 
Je rappelle qu'un forum est un lieu d'entre aide et non pas une place pour dire qu'on est le plus fort et qu'on emmerde tous les autres...
Trouves une faille dans le panier et on verra si tu est si fort que ça...
Et si c'est encore pour dire que dire des stupidité c'est pas la peine...
 
Mais j'aimerais vraiment savoir pkoi dut dis que je ne connait pas mon sujet, le seul truc que je connais pas ces les faille de mon systeme...

J'arrive souvent à la même conclusion.  
 

   Pardon ?!? Il existe quantité de lois, dont par exemple une qui qualifie de délit pénal le fait de ne pas protéger l'accès à des données nominatives :
 
 

 
Et il en exite d'autres. Tout le monde y est soumis. Le problème est que n'importe qui peut vendre ses "services" et pondre une application passoire de commerce en ligne.
 

 
Zzarbi974> Que tu ne sois pas un professionnel et que tu conçoives des appli web n'est pas un problème. Mais, qu'avec ton manque patant de connaissances, tu te lances dans une application de commerce en ligne avec tous les risques que cela comporte pour les utilisateurs, c'est SCANDALEUX et INADMISSIBLE.

 
Pour la lois j'était déja au courant, c'est pourquoi rien n'est stocké sur le serveur à part les variables de sessions, le reste est envoyé par mail au webmaster.
Et je vois pkoi moi j'aurais pas le droit de faire une application pour une boutique alors qu'il existe des codes spécialisé (comme paypal) avec une telle faille....
Le risque est le même mais les droits non...

 
 
Dacord avec toi

A la limite si j'était responsable du terminal de paiement electronique, je pourrais vous comprendre, mais mon rôle se limite qu'a transmettre un prix à un terminal de paiement d'une banque(en loccurence cyberplus que je n'ai pas programmer), et transmettre les info du client au webmaster par mail !!!!!...
 
Si je fais un forumlaire de contact est-ce que on va m'accuser de ne pas avoir suffisemment d'expérience pour la sécurité de l'utilisateur ?????????
Non paske les données ne sont pas stocké
 
La ma seule requete est de transmettre un prix au T.P. en étant sûr qu'un utilisateur vraiment malveillant, ne puisse pas profiter d'une faille soit pour en commander le double pour le même prix ou payer n'importe quoi moin chère ???????

Super justification, les bras m'en tombent.
 

Ah oui, je vois. Ton discours est le suivant : "s'il existe des produits avec des failles sur le marché, pq pas le mien" ?
 
Précisemment, le but de gens comme esox, moi et d'autres, c'est d'empêcher que des gens qui n'y connaissent rien (ou en tout cas trop peu) ne puissent pas concevoir des applications qui mettent en péril la sécurité financière et la vie privée des consommateurs.
 
Et ce n'est certainement pas par élitisme, soyons clair.

Ton dernier post ne fait que renforcer mon impression : tu n'y connais RIEN en la matière et tu devrais t'abstenir.
 
Tu penses que la charge de la sécurité est uniquement du côté du terminal de paiement : tu n'as RIEN compris.
 
Pour une application en production, avec de vrais clients, c'est IN-AD-MIS-SIBLE.
 

Mais je suis d'accord avec vous mais je vois pas comment dans mon cas je met la vie d'autrui en péril ????
Si il y a un probleme dévellopez au lieu de dire qui faut être expert en la matière!!!!
De plus c'est dans la documentation du TPE cyberlus il est écrit qu'il suffit de créer un simple caddy et de l'interfacer avec le TPE!
 
Pour les données de l'utilisateur si il le faut on peut les crypter ! avec une clée elle  même crypter !
Ce qui assurera que le mail sera sécurisé.

La vie, n'exagérons rien.
 
Les finances, oui, très certainement. Celles du client et plus probablement encore, celles de la boutique.
 
Si c'est la tienne, ma foi, ça te fera une bonne leçon le jour où qqn commandera des articles pour 1000€ tout en payant 10. Si c'est pour autrui, ça leur apprendra à engager des gens qui bricolent à la petite semaine.
 

Tu crois qu'avec une petite checklist de 10 bons conseils, tu vas remplacer des années d'expérience ? C'est bien là le point : tu n'es PAS expert en la matière, loin de là, et tu ne le seras pas dans 1 mois, même en le voulant très fort.
 
Sorry, rien de perso contre toi, mais au risque de me répéter, ce que tu fais est INACCEPTABLE.
 
Si à cela tu ajoutes les éventuelles légèretés, tout aussi inacceptable, de produits tiers, tu vois où tu vas ?
 
Arrête d'essayer de te justifier ou de minimiser le problème : tu es complètement passé à côté et, avec tes connaissances, tu ne seras pas en mesure d'y remédier.
 
Ecoute plutôt ce qu'on te dit et laisse cela à qqn qui s'y connait vraiment.

Eh ben laisse moi te dire NON, je vais continuer je vois pas où je vais avoir de l'expérience si je t'écoute...
De plus je crois que je vais créer un vrai forum d'entre-aide paske j'en ai marre qu'il y ai toujour des gens pour te dire que tu n'est pas capable alors que eux non plus.
Alors qu'on demande de l'aide y a des centaine de newbies qui font des site non sécurisé et quand moi je demande de l'aide pour sécurisé un truc on me dit que je suis pas suffisamment expert et que je devrais payer 2000€ pour avoir un simple panier alors que j'ai déja payer pour avoir un TPE.
Tu veut pas que je te paye tes vaccances aussi ? je l'ajouterais à la note du panier !
 
On m'a conseillé un TPE car son intallation/intégration est facile, et qu'on a besoin qu'un minimum de connaissance en php/mysql c++ etc...
 
Si on t'écoutais à la place d'un site marchand j'aurais un blog, et pour méthode de paiemment un truc allopass, comme ça tout est "sécurisé", paske les pro ils font mieux ....

Tu ne fais que renforcer la volonté de certains qu'il y ait un accès à la profession. Avec des gens comme toi sur la toile, ça risque de se faire assez rapidement.
 
Et encore une fois, tu te trompes largement. On n'acquiert pas de l'expérience en lançant en PROD des systèmes alors qu'on a pas la connaissance suffisante. On acquiert l'expérience en travaillant avec des seniors dans le domaine, en ragardant au départ, en assistant ensuite, en faisant soi-même en étant supervisé par après et on devient soi-même un jour senior.
 
Tu n'as RIEN compris à RIEN.
 

On t'aurait volontier aidé si ça pas n'avait été pour un project à mettre en production. Aucun des habitués ne veut se rendre complice de ce que tu es en train de faire et cela se comprend. La bonne solution, dans ton cas, est d'arrêter, mais tu as dit toi-même vouloir en faire à ta tête. Tu reçois un conseil mais tu l'ignores car il ne t'arrange pas : ne viens pas dire qu'on ne t'aide pas.
 

Beh oui, c'est toute la différence : t'es pas en train de créer un forum ou une galerie photo ou site informatif. Il y a de l'argent en jeu et ça, c'est une toute autre histoire.
 

De plus en plus fort, tes arguments => "J'estime avoir assez payé, ça doit être assez sécurisé comme ça".
 
N'importe quoi !!!
 
Baaah, quand le premier script kiddie sera parvenu à pirater ton système, il t'en coûtera plus de 2000€ en frais directs et indirects (mauvaise publicité, réputation ruinée sur la section "discussion" de ce forum, ...).
 
Ce jour là, n'hésite pas à venir pleurer sur cette section : on pourra en faire un témoignage édifiant à l'intention des téméraires. Désolé pour ce dernier propos, dur et un peu sarcastique, mais il faut que tu comprennes le risque que fais prendre à autrui.

Tiens, tu vois la différence entre moi et des gens comme toi ? J'ai largement plus d'expérience que toi, mais je n'hésiterais pas à m'entourer des conseils de gens qui s'y connaissent, et à les rémunérer, ne serait-ce que pour un audit de mon système.
 
Toi, tu n'y connais rien et tu n'as pas les compétences requises et surtout, tu ne veux pas en démordre.

C'est vrai que dans sont cas c'est pas des cacahuetes qui risque d'être perdu.
 
Des données d'un serveur, des photos, les perdres sont regretable...
Mais du fric, tu as plus de mal à l'accepter....

T'a quoi comme connaissance de plus que moi tu sais installé et modifier un script dotclear ????
Quand t'a mes petites connaissances, l'année dernière j'étais en première années de BTS info de gestion, et cette année au lieu d'aller en deuxiemme années, comme il m'a été proposé, j'ai décider d'aller en deuxieme année de prépa info, où j'ai été accepté.
 
De plus en BTS info je n'ai rien appris plus, juste comment programmé clairement avec des indentation etc...
Donc je connais le C++ jusqu'au classe et le vb jusqu'a linterface avec access, et j'ai appris aussi la gestion de base de données.
Donc je me suis ensuite former au php/mysql et au XHTML.
 
Si je savais à peine faire un site web je veut bien qu'on me rétorque que j'ai n'ai pas assez de connaissance pour sécurisé un panier mais là vous éxagérer !
La seule possilité pour un hacker de voler les données des gens est soit de pirater le serveur pour poser un script qui lui retournera les mails, soit de poser un trojan chez le webmaster, et dans les deux cas c'est pas le site qui est en cause !
 
Et être tetu n'est pas tout le temps un mauvais caractère...
Et si vous voulez pas m'aider ben j'irais chercher ailleur et j'afficherais la solution ici !

Bon je crois qu'on va arreter de debattre de tout ça parceque le dialogue ne rentre pas ...
 
Pour conclure : File nous l'adresse définitive de ton truc, comme ça si tu es tellement doué on s'en rendra compte, et dans le cas contraire ton portefeuille se videra a la meme vitesse que tu as balancé nos conseils

Mouahahahaha !!! Là, tu vires au boulet en t'en prenant gratuitement à moi. Coco, sache que mon blog, ce n'est PAS mon boulot.
 
A quoi je vois que j'y connais plus que toi ? Mais simplement à tes questions et à tes reflexions, qui prouvent à elles seules QUE TU N'AS RIEN COMPRIS.
 
Et ce n'est pas un concours entre nous, soyons clair.
 

Non. Ca se voit aux questions que tu poses et aux justifications que tu apportes, qui montrent à elles seules ta méconnaissance du domaine. Tu n'es pas un noob, mais tu n'as pas les compétences requises en matière de sécurité.    
 
 

Si tu penses qu'avec uniquement ça en tête t'es dans le bon, tu prouves une fois de plus par l'absurde être COMPLETEMENT à côté de la plaque.    
 

Je t'en prie. Je t'attends. Je bookmarke ce topic et je ferai un up en temps voulu. Tu vas sans doute aller chercher des réponses qui te confortent dans tes croyances (sans doute venant de personnes qui comme toi qui préfèrent ne pas admettre leur incompétence), alors que RIEN ne peut remplacer une expérience acquise dans des conditions propices.

Ils vendent quoi dans ce fameux panier?
 
Sa m'intéresse..

Inutile, il prétendra que :
 
- C'est la faute du terminal de paiement;
- C'est la faute de son hébergeur;
- C'était prévu mais pas encore implémenté;
- C'est ta faute;
- C'est une lacune d'IE ou de FF;
- autre
 
Cochez la ou les mentions qui s'appliquent.
 
     

Bein m'enfou Il changera de terminal de payement, d'hebergeur, de serveur , il implémentera le tout, il me tapera dessus, il enverra un email a microsoft/mozilla mais son compte en banque sera aussi vide que son DocumentRoot ...

Ok on va faire ça alors ! Mais avant de dire des conneries essaye déja avec l'adresse non définitive ! si tellement fort !
Non mais on est quand même arrivé à se battre pour voir lequel est le plus expériementé alors que je ne demandais que de l'aide.
Et je vois pas comment tu va t'y prendre pour vider mon compte alors que sur le site il n'y a pas mes coordonnées bancaires!

Genre le mec il a absolument rien compris