password

1 files changed, 20 insertions, 18 deletions

diff --git a/index.php b/index.php
index 8f6128e..dc5f3ba 100644
--- a/index.php
+++ b/index.php
@@ -38,12 +38,7 @@
 // - autoriser PHP (sinon, c'est comme si on avait un site statique)
 // -> pour pouvoir installer le site en n'ayant qu'à modifier les droits du dossier data uniquement et éviter les situations pénibles ou l'utilisateur est bloqué sans rien comprendre, on pourra créer ou utiliser des sauvegardes au format ZIP depuis une page spéciale accessible avec le compte admin
 
-// au premier démarrage du site
-// l'explication des éventuels problèmes de droits en lecture/écriture est à chercher ici:
-require('controller/installation.php');
-installation();
-
-// à propos des sessions, penser aux attaques CSRF (cross-site request forgery):
+// sessions, penser aux attaques CSRF (cross-site request forgery):
 // ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable
 // - solution: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST est possible aussi mais plus difficile et nécessite d'injecter du javascript
 // - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant
@@ -52,6 +47,14 @@ installation();
 // infos: https://fr.wikipedia.org/wiki/Cross-site_request_forgery
 session_start();
 
+// au premier démarrage du site
+// l'explication des éventuels problèmes de droits en lecture/écriture est à chercher ici:
+require('controller/installation.php');
+require('controller/password.php');
+installation();
+
+
+
 // traitement des POST du ckeditor
 // la fonction submitCKeditor n'affiche rien (controller/admin.php n'est pas utilisé) puis redirige sans GET
 if(isset($_SESSION['admin']) && $_SESSION['admin'] == 1
@@ -116,21 +119,20 @@ else
 }
 
 
-// mot de passe de connexion à hacher!
-// utiliser php pour ça, plus le .htaccess
-require('controller/password.php');
-$secret = "julian";
-
 
 // page du site demandée
 if(isset($_GET['page']))
 {
+    // page d'accueil
+    if($_GET['page'] == 'accueil')
+    {
+        accueil();
+    }
     // page menu
-    if($_GET['page'] == 'menu')
+    elseif($_GET['page'] == 'menu')
     {
         menu();
     }
-
     // page melaine
     elseif($_GET['page'] == 'melaine')
     {
@@ -200,10 +202,10 @@ if(isset($_GET['page']))
             discoVisitor();
         }
     }
-    // page connexion au mode admin
+    // page connexion
     elseif($_GET['page'] == 'connexion')
     {
-        connexion($secret);
+        connect();
     }
     // $_GET['page'] = n'importe quoi!
     else
@@ -216,9 +218,10 @@ if(isset($_GET['page']))
 // actions en mode admin, recharger une des pages principales
 elseif($_SESSION['admin'] == 1 && isset($_GET['action']))
 {
-    if($_GET['action'] == 'nouveau_mdp')
+    if($_GET['action'] == 'modif_mdp')
     {
-        changerMotDePasse($secret);
+        //changePassword($secret);
+        changePassword();
     }
     // extraction du contenu du dossier data
     else if($_GET['action'] == 'extraction')
@@ -250,7 +253,6 @@ elseif(isset($_GET['erreur']))
     //else
     //{
         accueil();
-        // accueil_404(); // à créer
     //}
 }