Site de guilde

[Black Hat]

Bon voila je compte faire un petit site de guilde pour l'alliance sgc avec cartouche et touti quanti.

Je voudrais que ca soit bien securisé pcq jack serait capable de tenté de la hacké.
Au pire les attaques type DDos, c'est pas trop grave, mais faudrait surtout pas que les infos puissent être recuperée.

Je prévois déjà pour régler le problème du "facteur humain" de faire des rang, et d'envoyer les mdp in-changeable par mp aux joueurs directement sur le jeux.
Mais c'est surtout le coté technique qui m'inquiete, alors si vous avez des conseils a donné ca serait sympa.

[bulton]

Tu peux déjà commencer en regardant de ce côté la : http://www.siteduzero.com/tutoriel-3-64 ... nnees.html
(Pour les requêtes préparé, tu n'es pas non plus obligé si tu ne veux pas les utiliser )

Sinon bas bien vérifier si la personne à les droits d'accès à la page, qu'importe la page

Que dire de plus ..... après c'est avoir de la logique dans les codes et bien tout vérifier avant d'ouvrir au public


PS : Même si tu le penses, j'aime pas trop voir des accusations comme tu l'as fait trainer sur le forum, il n'y a rien de telle pour relancer les querelles
À ce propos, pas de hors sujet sur ça ou ça va mal ce passer (j'aurais prévenu).

[Black Hat]

Normalement tout passe par la page index et est importer selon les besoins via les get/post, mais bon ca vérifie avant s'ils ont accès, sinon ils ont pas acces.
C'est une bonne solution ?

PS:Sinon pour jack, il a les connaissance pour le faire, et il m'a dit lui meme qu'il en a fait du hacking.
Je ne dit pas qu'il va le faire, mais bon vaut mieux prévenir que guérir donc je veux le sécurisé un max.

[bulton]

Normalement tout passe par la page index et est importer selon les besoins via les get/post

Sur cette technique, il y a la bonne et la mauvaise façon de faire (même si personnellement je n'utilise plus cette technique depuis que je travail pour gtw ^^).

La mauvaise c'est de mettre dans le get ou le post le nom de la page, du genre "coucou.php" et ensuite de l'inclure en faisant juste include($ton_get_ou_post);
Alors la tu peut être sur que c'est piratable à 100% ^^
Si je remplace coucou.php par http://mon_site/ma_page.php et je peux tout récupérer, tout modifier etc, enfin je peux agir sur ton site comme si c'était une page que tu avais fait et qui est prévu pour le site.

La bonne c'est de mettre du genre "coucou" en get ou post au lieu du nom de la page, et ensuite de vérifier que ton mot clé mis en get/post corresponde à une page (défini dans le script ¹), que la page existe bien sur le serveur ( file_exits() ) et si c'est bien le cas, alors de l'inclure.

Ça fait beaucoup de vérification, ça aussi fait un peu usine à gaz mais ça sécurise un minimum pour ce genre de technique

Mais comme je disais, je n'utilise plus cette technique depuis que je suis sur gtw (enfin même avant je l'utilisais très très peu) parce que la première règle en programmation c'est "Ne jamais faire confiance à l'utilisateur" ..... et comme tu le sais surement, un get comme un post est modifiable par l'utilisateur donc c'est une technique que je considère personnellement comme la plus risqué

¹ : Ne pas obligatoirement faire coucou -> coucou.php, mais plutôt du genre accueil -> home.php

Edit : Je viens de vérifier sur la doc pour include, donc ça supporte bien les fichiers distants (ce que je disais) mais php semble quand même bloqué plus ou moins le truc, enfin ton serveur traitera avec le résultat que donne mon script, je ne pourrais donc apparemment pas agir via les variables et fonction que tu as défini avant l'inclusion si j'ai bien compris la doc. Mais ça reste tout de même une faille

[Black Hat]

ouep je comptais faire un switch case et faire comme t'as dit de toutes facon.

Ps: au passage je vous chipe 2 images de pm pour mon cartouche, si ca vous dérange pas.

[Simbad]

Je ne hack plus, je ne fais que du développement maintenant =) finis depuis longtemps le hacking et encore c'est un bien grand mot que de se dire hacker...j'étais plus un bidouilleur très rusé qu'autre chose =)

Edit bubu : Tu m'expliques l'intérêt de répondre à un topic qui a 2ans ?
Edit massa : histoire de dire que c'est pas lui qui a hacker mon compte

[Simbad]

Bulton avec tout le respect que je peux avoir, pas la peine d'être agressif, ensuite les sujets qui ont deux ans si on veut que personne n'y répondent car ils sont vieux, on les met à la poubelle, si c'est là j'ai le droit d'y répondre, un peu de tact serait sympathique, je fais preuve de pas mal de tact de mon coté depuis un sacré moment il serait bon d'en faire autant!

Amicalement.

Jack =)