From 452420d0cd05822a9974fe27f0edc4cc4dc300cc Mon Sep 17 00:00:00 2001 From: polo Date: Wed, 18 Aug 2021 10:45:26 +0200 Subject: password --- index.php | 38 ++++++++++++++++++++------------------ 1 file changed, 20 insertions(+), 18 deletions(-) (limited to 'index.php') diff --git a/index.php b/index.php index 8f6128e..dc5f3ba 100644 --- a/index.php +++ b/index.php @@ -38,12 +38,7 @@ // - autoriser PHP (sinon, c'est comme si on avait un site statique) // -> pour pouvoir installer le site en n'ayant qu'à modifier les droits du dossier data uniquement et éviter les situations pénibles ou l'utilisateur est bloqué sans rien comprendre, on pourra créer ou utiliser des sauvegardes au format ZIP depuis une page spéciale accessible avec le compte admin -// au premier démarrage du site -// l'explication des éventuels problèmes de droits en lecture/écriture est à chercher ici: -require('controller/installation.php'); -installation(); - -// à propos des sessions, penser aux attaques CSRF (cross-site request forgery): +// sessions, penser aux attaques CSRF (cross-site request forgery): // ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable // - solution: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST est possible aussi mais plus difficile et nécessite d'injecter du javascript // - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant @@ -52,6 +47,14 @@ installation(); // infos: https://fr.wikipedia.org/wiki/Cross-site_request_forgery session_start(); +// au premier démarrage du site +// l'explication des éventuels problèmes de droits en lecture/écriture est à chercher ici: +require('controller/installation.php'); +require('controller/password.php'); +installation(); + + + // traitement des POST du ckeditor // la fonction submitCKeditor n'affiche rien (controller/admin.php n'est pas utilisé) puis redirige sans GET if(isset($_SESSION['admin']) && $_SESSION['admin'] == 1 @@ -116,21 +119,20 @@ else } -// mot de passe de connexion à hacher! -// utiliser php pour ça, plus le .htaccess -require('controller/password.php'); -$secret = "julian"; - // page du site demandée if(isset($_GET['page'])) { + // page d'accueil + if($_GET['page'] == 'accueil') + { + accueil(); + } // page menu - if($_GET['page'] == 'menu') + elseif($_GET['page'] == 'menu') { menu(); } - // page melaine elseif($_GET['page'] == 'melaine') { @@ -200,10 +202,10 @@ if(isset($_GET['page'])) discoVisitor(); } } - // page connexion au mode admin + // page connexion elseif($_GET['page'] == 'connexion') { - connexion($secret); + connect(); } // $_GET['page'] = n'importe quoi! else @@ -216,9 +218,10 @@ if(isset($_GET['page'])) // actions en mode admin, recharger une des pages principales elseif($_SESSION['admin'] == 1 && isset($_GET['action'])) { - if($_GET['action'] == 'nouveau_mdp') + if($_GET['action'] == 'modif_mdp') { - changerMotDePasse($secret); + //changePassword($secret); + changePassword(); } // extraction du contenu du dossier data else if($_GET['action'] == 'extraction') @@ -250,7 +253,6 @@ elseif(isset($_GET['erreur'])) //else //{ accueil(); - // accueil_404(); // à créer //} } -- cgit v1.2.3