Bonjour à tous !
 
Avant tout ceci n'est pas un spam, d'ailleurs le fait que le site que je vous présente ici n'est pas terminé et qu'il n'est pas encore en prod le prouve.  
 
J'ai fait mes premiers pas en PHP avec ce site, et mon système de news repose sur une identification PHP (utilisant les sessions). J'aimerais savoir si mon système est fiable (tant qu'a me faire hacker, autant que ca soit avant la mise en production). Donc voila j'espere que vous n'y arriverez pas, mais je suis loin d'etre sur de moi Voici l'adresse de la page d'authentification: http://www.jsfnanterre.com/index.php?page=login
 
De plus, j'aimerais votre avis sur le design du site. Vous pouvez y aller franchement c'est pas moi qui l'ai fait . Bon je sais qu'ici ca taille pas mal quand on propose de commenter un site mais je compte sur vous pour faire preuve d'objectivité et d'indulgence !
 
Merci  

Pour ce qui est du code, c'est vraiment nul à chier

code?
Moi je le trouve plutôt efficace car tu ne print rien (à part "login & password incorrects" ) donc c quasiment impossible de soutirer des infos.
 
Pour savoir plus en détail si c'est fiable, il faudrait que tu nous montre le code...

 
Merci ca a le mérite d'etre constructif

 
Certes.  
Alors ca c'est le code de login.php (appellé quand on clique sur le bouton du formulaire):

 
Et en haut de chaque page à "sécuriser" genre admin.php, il y a ce code la: (usercheck.php)
 

Outch   !
 
Premier truc a faire:
Faire un rtrim + htmlentities sur les champs password & login !
genre $login=rtrim(htmlentities($login));
 
Après pour la session (je suis pas expert   ), faudrait peut être rajouter un ptit cookie avec une date de péremption rapide pour être sur que ç le bon gars qui est connecté (et pas ton petit frèro 2 minutes après ^^).
 
++
 
Fonzie

Ben désolé mais 12 ko de javascript pour afficher un menu, j'appelle ca du foutage de gueule. (et y'a pas que ça). Je sais pas quel logiciel t'as pondu ca mais abandonne le illico.  

 
lol le javascript il est énorme c'est clair. Le logiciel qui l'a généré c'est dreamweaver.
De la a dire que le code c'est de la merde...

Mais bon ca n'empeche qu'un code pour faire un menu aussi bo en 2Ko je suis prenneur.  

généré par Dreamweaver = de la merde
 
c'est pas bien compliqué  

addslashes est ici plus approprié, non ?
 
Pour info, sur mon site, il y a deux authentifications, la première en dur, codée dans le code PHP. Lorsque le mot de passe (transformé en MD5) est correct, un cookie d'une validité d'une heure est envoyé au client. Ce n'est qu'après cette première étape que l'utilisateur peut entrer l'user/pass SQL (stoqué avec une session).
Ca évite que des rigolos s'amusent avec les requêtes SQL, ce qui crée toujours un problème.
Le mot de passe permettant de modifier la base n'est stoqué sur le serveur que pendant la durée de la session. Les scripts PHP lisent les données avec un utilisateur n'ayant que le privilège SELECT.
 
Ps : le menu JavaScript ne devrait pas faire plus de 500 octets en CSS.

 
Javascript = kaka, ton menu marche pas chez moi, c'est un truc faisable en css donc en effet, c'est à foutre au bac.
 
Bon, évidement, un menu en CSS faut pas le demander à Dreamweaver (ou alors il aurait beaucoup changé...)

 
Comment ca il ne fonctionne pas ? Tu as désactivé Javascript ?
Bon vais essayer de passer ca en CSS...
Merci

 
merci pour les 10% de gens qui n'ont pas JS activé
 

 
Bah le probleme c'est pourquoi ces gens la n'ont pas le javascript activé. C'est comme si moi je désactivait les CSS et que je me plaignait de pas avoir une image de fond fixe ou une connerie dans le genre.

Bon a ce sujet vous utiliser quoi comme outils de conception HTML ?
Me répondez pas notepad, je parle d'un vrai outils

ConTEXT

 
ls JS est désactivé dans beaucoup de cas notemment dans les banques, grandes entreprises pour des raison de sécurité.
 
un CSS est une proposition de présentation. en aucun cas tu ne peux obliger ton visiteur à la suivre

un vrai outil c'est ton cerveau

en résumé, on doit pouvoir consulter ton site sans JS, sans CSS. ce qui n'est pas le cas actuellement.  
 
garde à l'esprit que c'est le CONTENU le plus important. pas la présentation

heu sans CSS faut quand meme pas poussé

Comme si lynx en avait quelquechose à branler de ta feuille de style...

 
J'ai deja entendu ce discours utopique a de multiple reprises. Pour une appli de gestion en entreprise peut etre, pour un site grand public c'est tout le contraire.
Encore un qui est loin des réalités...

grand public = max de gens = max de difference = on limite la casse
 
donc pas de JS

si le contenu n'est pas plus important que le contenant, c'est que son contenu n'est pas si important que ça
 
je connais certainement mieux les réalités que toi (soucis des normes, accessibilité)
 
edit : http://validator.w3.org/check?uri= [...] ge%3Dlogin

Un truc indispensable comme le menu ne doit PAS être fait d'une manière qui pourrait en empêcher la visualisation, c'est le B.A. = BA de la conception d'un site lisible...

Un jour tu te rendras compte qu'il faut écouter ceux qui ont l'expérience. Beaucoup d'entre nous ont commencé à faire des sites web à l'époque où CSS n'existait même pas.
Si on te dit que tu gagnerais tout à refaire ce menu en CSS, tu peux nous croire. Tu peux même le garder en JS si tu y tiens vraiment ( ), mais fais en sorte qu'il soit utilisable sans JavaScript.
Comme outils, tu peux utiliser ConTEXT (déjà conseillé par JagStang) + les doc W3C.

 
Oui. Pour des tas de raisons plus ou moins valables, jscript n'est au mieux que partiellement activé.
 

 
A la différence que les CSS n'assure que la présentation, elles n'ont pas d'effet sur la contenu du document. Quand CSS Garden propose des CSS différentes pour son site type, le contenu et la navigation ne sont pas moins accessibles avec ou sans elles.
 

 
Les vraies outils dans le sens où tu l'entends sont problablement des outils faisant des présentations à base de tableaux, j'ai bon ?
 

 
La réalité, c'est qu'il n'y a pas un seul internaute universel naviguant avec un seul navigateur web utilisant une seule norme suivie par tout le monde. Donc oui, c'est toujours le contenu qui doit primer (un exemple facile : pourquoi ne fais tu pas ton site en flash ? côté présentation, il est mieux que ce que tu peux faire en html non ? )

Heu, ya pas de raison de s'enerver juste pour un menu ^^.
Sinon, autant faire un site en .txt (avec une petite frame pour naviguer ^^). Comme ça même les saturn netlink pourront afficher la page, lol.

Si il ne s'était pas pris pour plus compétent qu'il ne l'est, ca ne se serait pas passé comme ca. Enfin bon, qu'il le garde son menu de 12ko...

 
Alors ca c'est quand  meme fort de café !
Je ne me suis jamais pris pour plus compétant que je ne suis, d'ailleurs j'ai commencé par préciser que ca n'était pas moi qui avait fait le design du site (mais d'ailleurs un gars dont c'est le métier - j'entend déjà les sarcasmes de Ayuget: il a qu'a changer de métier ).
Et effectivement le Webdesign n'est pas mon métier, je suis développeur. Je découvre donc ce milieu (c'est mon premier site).
C'est la raison pour laquelle quand on m'a dit "C'est le contenu qui prime sur le contenant", j'ai tilté. Au début de ma carrière de dev, j'ai répété ca a tour de bras aussi. Mais il s'avère que pour le client la logique est tout autre. Un produit beau et moins riche en fonctionnalité se vendra mieux qu'un moche plus complet.
Bon d'apres vos dire ce n'est pas le cas en Webdesign, ou l'accéssibilité prime. Ok très bien j'aquièce.  
Pour ce qui est des outils, visiblement tout le monde est d'accord sur le fait que Dream c'est de la merde. Admettons. Maintenant, mettez vous a ma place et inversez les roles. Vous n'avez jamais développer de votre vie et on vous donne le choix entre Delphi (très bon outils RAD d'ailleurs) et gcc+ emacs (compilateur ligne de commandes et notepad like). Ben a moins de n'avoir que ca a foutre et de ne pas connaitre le sens du mot producivité, vous allez choisir Delphi, au sacrifice de quelques Ko... Donc pour répondre à naceroth, pour moi un bon outil est un outil qui fait un bon compromis entre fonctionnalités, propreté du rendu, accésibilité et productivité. Donc pas notepad ni autrechose qui n'affiche que du code et aucune fontion wysiwyg.
Enfin pour répondre a Ayuget, je vais le virer ce menu (des que j'aurais trouvé comment faire un équivalent en CSS - et c'est pas gagné les dropdown menu en CSS c'est pas la joie), parce que j'ai compris ce qu'on m'a dit. Mais par contre tu seras gentil de ne pas me faire dire ce que je n'ai pas dit.

En l'occurrence, les compromis sont assez mauvais...les outils wysiwyg génèrent (quasiment) toujours un code mauvais niveau accessibilité, et la plupart du temps imbitable pour arranger le tout...

S'il tient vraiment à avoir un truc wysiwyg, je pense que http://www.nvu.com/ est le meilleur compromis.

Pour ceux qui ont désactiver Js.
Tu peux mettre une section <NOSCRIPT> où tu:  
1_ demandes aux visiteurs d'activer Javascript.  
2_ leur annonce qu'ils ne pourront visiter ton site
 
Ou mettre des liens textes en bas du sites vers différentes rubriques...
 
Mais bon à mon avis ne fait pas de menu en JS, il y à plus beau...
La preuve je n'ai pas accès à ton menu du mac de mon boulot ! Et pourtant JS est activé... c'est une source d'ennuis... Si tu veux toucher un grand public, fais quelque chose de simple

Pour ton menu et le reste je te conseille de faire un tour ici :
http://www.alsacreations.com/articles/

ah t'es de retour toi. t'a fini de raconter des conneries ?
 
http://forum.hardware.fr/hardwaref [...] tm#t847276

Salut Jagstang oui et comme je l'ai bien précisé ce sujet a été posté par un amis qui essaye de créer son site...
Je n'ai jamais crée les sites qu'il a cité ke suis que sur un seul projet, j ene suis pas de retour je post jamais dans PHP mais dans Webdesign.
Bref j'en ai profité pour changé mon mot de passe car graçe a lui j'ai eu le droit a beaucoup de remarques
Relis le sujet jusqu'au bout

un peu facile... bref

Oui c'est sure que sa peut être facile et tout aussi con de preter son compte mais après un coup pareil je pense que j'aurais tellement honte que je changerais de forum . non regarde le tout premier message que cette fameuse personne à poster. Peu être qu'en relisant la chose tu verra que ça sent le mytos et surtout le fait de donner une adresse en cours de programmation ce qui me fait le plus chier dans l'histoire car on évite vraiment de la donner !
Bref comme tu dis  ça peut paraitre louche !
Masi ne changeons pas le sujet de Webmaster JSFN
Moi je dis seulement que le Js n'est pas une bonne chose que je l'évite au maximum, mais sur des sites de scripts PHP, tu peux trouver des menus tout fait si tu n'as envie de te prendre la tête