miniatures GD

1 files changed, 6 insertions, 18 deletions

diff --git a/index.php b/index.php
index 70ca884..5733e8e 100644
--- a/index.php
+++ b/index.php
@@ -4,14 +4,6 @@
 // routeur MVC ou controlleur principal

 // il traite les GET et passe la main aux contrôleurs

 

-

-// sessions, penser aux attaques CSRF (cross-site request forgery):

-// ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable

-// - solution: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST est possible aussi mais plus difficile et nécessite d'injecter du javascript

-// - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant

-// - il y a la méthode des jetons, "nonces" et horodatage

-// - vérifier le "référent", c'est à dire l'URL de la page d'où vient normallement la requête

-// infos: https://fr.wikipedia.org/wiki/Cross-site_request_forgery

 session_start();

 

 if(!empty($_SESSION['erreur']))

@@ -26,6 +18,12 @@ require('controller/installation.php');
 require('controller/password.php');

 installation();

 

+// config par défaut

+$imageLibrary = 'gd'; // 'gd' ou 'imagick'

+$storage = 'files'; // 'files' ou 'database'

+// config perso

+include('config.php');

+

 

 // traitement des requêtes AJAX

 if(isset($_GET['action']) && isset($_GET['page']) && $_GET['action'] == 'upload_image')

@@ -66,16 +64,6 @@ if(isset($_SESSION['admin']) && $_SESSION['admin'] == 1
     }

 

     submitCKeditor();

-    // modification

-    /*if(isset($_SESSION['target']))

-    {

-        submitCKeditor($_SESSION['target']);

-    }

-    // nouvel article

-    else

-    {

-        submitCKeditor(''); // $target = ''

-    }*/

 }

 else

 {