From 07e0291bfad8ef3a8b37bf0d0ebf20df936e7b7f Mon Sep 17 00:00:00 2001
From: polo <ordipolo@gmx.fr>
Date: Sat, 14 Aug 2021 01:32:59 +0200
Subject: password

---
 controller/admin.php    | 48 +++++++++++++++++++++++++++++++++++++-----------
 controller/ckeditor.php | 12 ++++++++++--
 controller/password.php | 16 ++++++++++++++++
 controller/visitor.php  |  8 +++++---
 data/password.txt       |  1 +
 index.php               | 11 ++++++++---
 model/Classes.php       |  8 +++++---
 public/accueil.css      | 12 ++++++++++++
 public/main.js          | 13 ++++++++++---
 view/connexion.php      | 27 ++++++++++++++++++++++++++-
 view/melaine.php        |  4 ++--
 view/template.php       |  6 +++---
 12 files changed, 135 insertions(+), 31 deletions(-)
 create mode 100644 controller/password.php
 create mode 100644 data/password.txt

diff --git a/controller/admin.php b/controller/admin.php
index d738dc0..29ccd41 100644
--- a/controller/admin.php
+++ b/controller/admin.php
@@ -31,6 +31,7 @@ function melaineEdit($numArticle, $suppression)
 		{
 			$Articles->delete();
 			header('Location: index.php?page=' . $page_actuelle);
+			exit();
 		}
 		// modification
 		else
@@ -46,22 +47,20 @@ function melaineEdit($numArticle, $suppression)
 	$Articles->reverseFilesArray();
 	$articles = $Articles->getAll();
 
+	// sécurisation du contenu pré-existant inséré dans l'éditeur
 	if($numArticle >= 0 && !$suppression)
 	{
-		// traitements PHP pour l'éditeur
 		require('controller/ckeditor.php');
-		// sécurisation du contenu pré-existant inséré dans l'éditeur
 		$texte = preparationCKeditor($numArticle, $texte);
 	}
 
 	// NB: penser à ajouter au template la fonctionnalité "autosave"
 	// https://ckeditor.com/docs/ckeditor5/latest/builds/guides/integration/saving-data.html
 
-	// création des morceaux en HTML avant assemblage
-
-	// variable $editeurHTML, on insère $texte dedans
+	// morceaux en HTML à assembler
+	// variable $editeurHTML, contient $texte
 	require('view/template-formulaires.php');
-	// variables $css, $js, $header et $content
+	// variables $css, $js, $header et $content,
 	// $content contient $articles et $editeurHTML
 	require('view/melaine.php');
 	// fin de l'assemblage
@@ -82,25 +81,26 @@ function discoEdit($numArticle, $suppression)
 	// sécurisation du contenu pré-existant inséré dans l'éditeur
 	$texte = preparationCKeditor($numArticle, $texte);
 
-	// variable $editeurHTML, on insère $texte dedans
+	// morceaux en HTML à assembler
+	// variable $editeurHTML, contient $texte
 	require('view/template-formulaires.php');
-	// variables $css, $js, $header et $content
+	// variables $css, $js, $header et $content,
 	// $content contient ???? et $editeurHTML
 	require('view/discographie.php');
 	// fin de l'assemblage
 	require('view/template.php');
 }
 
-function changerMotDePasse($secret, $from)
+function changerMotDePasse($secret)
 {
 	// vérification supplémentaire
 	if($_SESSION['admin'] !== 1)
 	{
 		$_SESSION['admin'] = 0;
 	    header('Location: index.php?page=' . $_GET['from']);
+	    exit();
 	}
 
-	$title = "nouveau mot de passe";
 	// Ajouter une sécurité par cpatcha avec un "input" supplémentaire
 	// Et créer une variable de session pour la réponse au CAPTCHA
 	
@@ -112,7 +112,33 @@ function changerMotDePasse($secret, $from)
 
 	echo($header);
 
-	// traitements: vérification ancien mot de passe et choix du nouveau 
+	// traitements: vérification ancien mot de passe et choix du nouveau
+	// bon mot de passe
+	if(isset ($_POST["ancienMotdepasse"]) AND $_POST["ancienMotdepasse"] == $secret)
+	{
+		// confirmation
+		echo($message);
+		//exit();
+
+		/*header('Location: index.php?page=' . $_GET['from'] . '&message=nouveau_mdp');
+		exit();*/	
+	}
+
+	// mauvais mot de passe
+	elseif(isset ($_POST["ancienMotdepasse"]) AND $_POST["ancienMotdepasse"] != $secret)
+	{
+		// défense aux attaques par force brute
+		// pas parfait, ne marche pas si l'attaquant multiplie les connexions au site
+		echo($erreurMDP);
+		sleep(1);
+	    echo($formulaireNouveauMDP);
+	}
+
+	// première arrivée sur la page
+	else
+	{
+	    echo($formulaireNouveauMDP);
+	}
 
 	echo($footer);
 }
diff --git a/controller/ckeditor.php b/controller/ckeditor.php
index 9262da0..d25e5ac 100644
--- a/controller/ckeditor.php
+++ b/controller/ckeditor.php
@@ -71,13 +71,21 @@ function submitCKeditor($nomFichier)
     {
         $titre = $_POST['titre'];
         $annee = $_POST['annee'];
-        $pochette = $_POST['pochette'];
+        $pochette = $_POST['pochette']; // une image
 
+        // des formulaires simples
         $titre = htmLawed($titre, $configHtmLawed, $specHtmLawed);
         $titre = trim($titre);
-        $contenu = htmLawed($contenu, $configHtmLawed, $specHtmLawed);
         $annee = htmLawed($annee, $configHtmLawed, $specHtmLawed);
         $annee = trim($annee);
+
+        // pochette
+        // Album->imageUpload();
+        // test formats jpg, jpeg, png, gif, tiff
+        // enregistrement du fichier
+
+        // du ckeditor
+        $contenu = htmLawed($contenu, $configHtmLawed, $specHtmLawed);
         $contenu = trim($contenu);
     }
     else // pages comme "melaine"
diff --git a/controller/password.php b/controller/password.php
new file mode 100644
index 0000000..987670f
--- /dev/null
+++ b/controller/password.php
@@ -0,0 +1,16 @@
+<?php
+// password.php
+
+function hashNewPassword()
+{
+	//$hash = password_hash($password, PASSWORD_DEFAULT);
+
+	// écrire dans un fichier
+}
+
+function testPassword()
+{
+	// lire dans un fichier
+	
+	//if(password_verify($password, $hash))
+}
\ No newline at end of file
diff --git a/controller/visitor.php b/controller/visitor.php
index 16f9c40..539df1f 100644
--- a/controller/visitor.php
+++ b/controller/visitor.php
@@ -87,6 +87,7 @@ function connexion($secret)
 	if($_SESSION['admin'] == 1)
 	{
 	    header('Location: index.php?page=' . $_GET['from']);
+	    exit();
 	}
 
 	// Ajouter une sécurité par cpatcha avec un "input" supplémentaire
@@ -105,14 +106,15 @@ function connexion($secret)
 	{
 		$_SESSION['admin'] = 1;
 	    header('Location: index.php?page=' . $_GET['from']);
-	    exit ();
+	    exit();
 	}
 
-	// mauvaise mot de passe
+	// mauvais mot de passe
 	elseif(isset ($_POST["motdepasse"]) AND $_POST["motdepasse"] != $secret)
 	{
 		// défense aux attaques par force brute
 		// pas parfait, ne marche pas si l'attaquant multiplie les connexions au site
+		echo($erreurMDP);
 		sleep(1);
 	    echo($formulaireConnexion);
 	}
@@ -124,4 +126,4 @@ function connexion($secret)
 	}
 
 	echo($footer);
-}
\ No newline at end of file
+}
diff --git a/data/password.txt b/data/password.txt
new file mode 100644
index 0000000..46afb44
--- /dev/null
+++ b/data/password.txt
@@ -0,0 +1 @@
+julian
\ No newline at end of file
diff --git a/index.php b/index.php
index cb6ea60..8f6128e 100644
--- a/index.php
+++ b/index.php
@@ -115,9 +115,13 @@ else
     $_SESSION['admin'] = 0;
 }
 
-// mot de passe de connexion à protéger par le .htaccess !!
+
+// mot de passe de connexion à hacher!
+// utiliser php pour ça, plus le .htaccess
+require('controller/password.php');
 $secret = "julian";
 
+
 // page du site demandée
 if(isset($_GET['page']))
 {
@@ -208,12 +212,13 @@ if(isset($_GET['page']))
     }
 }
 
-// actions en mode admin recharger une des pages principales
+
+// actions en mode admin, recharger une des pages principales
 elseif($_SESSION['admin'] == 1 && isset($_GET['action']))
 {
     if($_GET['action'] == 'nouveau_mdp')
     {
-        changerMotDePasse($secret, $_GET['from']);
+        changerMotDePasse($secret);
     }
     // extraction du contenu du dossier data
     else if($_GET['action'] == 'extraction')
diff --git a/model/Classes.php b/model/Classes.php
index a455213..1b2a463 100644
--- a/model/Classes.php
+++ b/model/Classes.php
@@ -160,7 +160,8 @@ class AlbumsManager extends ArticlesManager
 
 	// create
 	//public function create($titre, $annee, $pochette)
-    public function create($content)
+    //public function create($content)
+    public function create($content, $titre, $annee, $pochette)
     {}
 
 	// read
@@ -168,8 +169,9 @@ class AlbumsManager extends ArticlesManager
 	{}
 
 	// update
-	//public function create($titre, $annee, $pochette)
-	public function update($content)
+	//public function update($titre, $annee, $pochette)
+	//public function update($content)
+	public function update($content, $titre, $annee, $pochette)
 	{}
 
 	// delete
diff --git a/public/accueil.css b/public/accueil.css
index aba7196..2e4426a 100644
--- a/public/accueil.css
+++ b/public/accueil.css
@@ -79,6 +79,12 @@ img
     margin-top: 5px;
 }
 
+form
+{
+    padding-bottom: 14px;
+    border-bottom: 1px black solid;
+}
+
 #courriel
 {
     padding-top: 30px;
@@ -169,6 +175,12 @@ img
     margin-top: 0px;
     text-align: center;
 }
+.avertissement
+{
+    color: red;
+    font-size: 90%;
+    text-align: center;
+}
 
 .connexionFormulaire
 {
diff --git a/public/main.js b/public/main.js
index 1c04dec..ec2b2f1 100644
--- a/public/main.js
+++ b/public/main.js
@@ -3,7 +3,8 @@
 function versMenu()
 {
 	// ergonomique
-	window.setTimeout("location=('index.php?page=menu');", 10000);
+	//window.setTimeout("location=('index.php?page=menu');", 10000);
+	window.setTimeout(function(){location.href="index.php?page=menu"}, 3000);
 }
 
 function deconnexionAutomatique()
@@ -18,7 +19,7 @@ function deconnexionAutomatique()
 // fonction appelée avec onClick dans un lien,
 // si on sélectionne pas "oui", on ne doit pas suivre le lien
 // si javascript est désactivé, le lien fonctionne
-function confirmerSuppression(page)
+function confirmerSuppression()
 {
 	// ne suivre le lien "href" que si on clique sur oui
 	var oui = confirm('Confirmer la suppression de cet article.');
@@ -51,7 +52,7 @@ function copierAdresse()
 	document.body.appendChild(element);
 	var cible = document.getElementById('copyMe');
 
-	// selection comme-ci on utilisait la souris
+	// selection comme on le ferait à la souris
 	cible.select();
 	// copie (= Ctrl + C)
 	document.execCommand("copy");
@@ -66,3 +67,9 @@ function copierAdresse()
 // 	var cible = document.getElementById('nouvelArticle');
 // 	cible.setAttribute("style", "display: none;");
 // }
+
+function nouveauMotdepasse(page)
+{
+	confirm('Le mot de passe a été modifié.');
+	window.setTimeout(location=('index.php?page=' + page + '&message=nouveau_mdp'), 0);
+}
\ No newline at end of file
diff --git a/view/connexion.php b/view/connexion.php
index 2187ecf..1c3aceb 100644
--- a/view/connexion.php
+++ b/view/connexion.php
@@ -20,7 +20,14 @@ $formulaireConnexion = ob_get_clean();
 // vérification de l'ancien et choix du nouveau à taper deux fois dont une à l'aveugle
 ob_start();
 ?>
-
+            <form class="connexionFormulaire" method="post" action="index.php?from=<?= $_GET['from'] ?>&action=nouveau_mdp" >
+                <label for="motdepasse" >Ancien mot de passe:</label>
+                <input type="password" name="ancienMotdepasse" autofocus required ><br /><br />
+                <label for="motdepasse" >Nouveau mot de passe:</label>
+                <input type="password" name="nouveauMotdepasse" required >
+                <br /><br />
+                <input type="submit" value="Valider" >
+            </form>
 <?php
 $formulaireNouveauMDP = ob_get_clean();
 
@@ -38,6 +45,7 @@ ob_start();
         <link rel="icon" type="image/png" href="public/mouette-logo.png" >
         <link rel="stylesheet" type="text/css" href="public/normalize.css">
         <link rel="stylesheet" type="text/css" href="public/accueil.css" />
+        <script type="text/javascript" src="public/main.js" ></script>
         <meta name="viewport" content="width=device-width, initial-scale=1.0" />
     </head>
 
@@ -48,9 +56,26 @@ ob_start();
 <?php
 $header = ob_get_clean();
 
+
+// message d'erreur
+$erreurMDP = '<p class="avertissement" >Mauvais mot de passe</p>';
+
+// confirmation modification mot de passe
+ob_start();
+?>
+<script type="text/javascript" >nouveauMotdepasse('<?= $_GET["from"] ?>');</script>
+<noscript>
+    <p class="avertissement" >Le mot de passe a été modifié<br />
+        <a href="index.php" >Retour au site.</a><br/></p>
+</noscript>
+<?php
+$message = ob_get_clean();
+
+
 // pied de page
 ob_start();
 ?>
+            <p class="avertissement" >Rappel de sécurité<br />Vous n'utilisez pas votre propre ordinateur ou téléphone: utilisez la navigation privée!</p>
             <p class="connexionFooter" >
             	<i>N'oubliez de cliquer sur "déconnexion" quand vous aurez fini.</i><br />
             	<a href="index.php?page=<?= $_GET['from'] ?>" >Retour à la page précédente</a>
diff --git a/view/melaine.php b/view/melaine.php
index 657c656..cdb24cc 100644
--- a/view/melaine.php
+++ b/view/melaine.php
@@ -90,7 +90,7 @@ foreach ($articles as $article)
     // placer un article
     else
     {
-        // c'était pas compliqué
+        // et voila
         echo($article . "\n");
 
         // bouton
@@ -102,7 +102,7 @@ foreach ($articles as $article)
                                 Modifier cet article
                             </a>
                             &nbsp;<!-- un espace -->
-                            <a href="index.php?page=melaine&action=suppression&article=<?= $j ?>" onclick="confirmerSuppression('<?= $page_actuelle ?>')" >
+                            <a href="index.php?page=melaine&action=suppression&article=<?= $j ?>" onclick="confirmerSuppression()" >
                                 Supprimer cet article
                             </a>
                         </p>
diff --git a/view/template.php b/view/template.php
index b7ea0fb..ded1d08 100644
--- a/view/template.php
+++ b/view/template.php
@@ -77,11 +77,11 @@ if($_SESSION['admin'] == 1)
                 <div>
                     <p><a href="index.php?from=<?= $page_actuelle ?>&action=nouveau_mdp" >
                         Changer le mot de passe de connexion.</a></p>
+                    <p><a href="index.php?from=<?= $page_actuelle ?>&action=sauvegarde" >
+                        Sauvegarder les données de tout le site.</a></p>
+                    <p><a href="index.php?from=<?= $page_actuelle ?>&action=restauration" >Restaurer les données avec une sauvegarde.</a></p>
                     <p><a href="melainePHP.zip" >
                         Télécharger le code PHP pour migration.</a></p>
-                    <p><a href="index.php?from=<?= $page_actuelle ?>&action=extraction" >
-                        Extraire les données de tout le site.</a></p>
-                    <p><a href="index.php?from=<?= $page_actuelle ?>&action=insertion" >Restauration des données avec une sauvegarde.</a></p>
                 </div>
             </div>
 <?php
-- 
cgit v1.2.3