From 9a1fb624fd1089087bd363551ba64f5862d9919f Mon Sep 17 00:00:00 2001 From: polo Date: Fri, 18 Feb 2022 05:38:40 +0100 Subject: miniatures GD --- index.php | 24 ++++++------------------ 1 file changed, 6 insertions(+), 18 deletions(-) (limited to 'index.php') diff --git a/index.php b/index.php index 70ca884..5733e8e 100644 --- a/index.php +++ b/index.php @@ -4,14 +4,6 @@ // routeur MVC ou controlleur principal // il traite les GET et passe la main aux contrôleurs - -// sessions, penser aux attaques CSRF (cross-site request forgery): -// ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable -// - solution: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST est possible aussi mais plus difficile et nécessite d'injecter du javascript -// - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant -// - il y a la méthode des jetons, "nonces" et horodatage -// - vérifier le "référent", c'est à dire l'URL de la page d'où vient normallement la requête -// infos: https://fr.wikipedia.org/wiki/Cross-site_request_forgery session_start(); if(!empty($_SESSION['erreur'])) @@ -26,6 +18,12 @@ require('controller/installation.php'); require('controller/password.php'); installation(); +// config par défaut +$imageLibrary = 'gd'; // 'gd' ou 'imagick' +$storage = 'files'; // 'files' ou 'database' +// config perso +include('config.php'); + // traitement des requêtes AJAX if(isset($_GET['action']) && isset($_GET['page']) && $_GET['action'] == 'upload_image') @@ -66,16 +64,6 @@ if(isset($_SESSION['admin']) && $_SESSION['admin'] == 1 } submitCKeditor(); - // modification - /*if(isset($_SESSION['target'])) - { - submitCKeditor($_SESSION['target']); - } - // nouvel article - else - { - submitCKeditor(''); // $target = '' - }*/ } else { -- cgit v1.2.3