bâtiment=>ressource==évolution!!

bâtiment=>ressource==évolution!! - Version imprimable

+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : bâtiment=>ressource==évolution!! (/showthread.php?tid=3854)

Pages : 1 2

RE: système de bâtiment!!je sais c'est vague - wild-D - 05-04-2009

(04-04-2009, 01:16 AM)Zamentur a écrit : NB2:je peux te donner des exemples pour lancer un formulaire via un lien au lieu d'un bouton, c'est souvent mieux pour la sécurité. Je pense au faille CSRF

c'était pas le sujet initiale, mais je vois pas bien le rapport ?

me semblais que pr limiter les CSRF, fallait envoyer plutot en POST (evite par exemple les abus en utilisant la balise img qui sont des requête GET) et aussi avec chaque form envoyer un token flash unique (càd valable que pour une durée limité et au max jusqu'à la prochaine requête du client) pour assurer "l'identification" de la requête

RE: système de bâtiment!!je sais c'est vague - Zamentur - 06-04-2009

[HS]

Citation :fallait envoyer plutot en POST

Il n'y a pas 36 manières d'envoyer en POST... Formulaire ou via XMLHttpRequest().
Je proposais donc un script permettant d'envoyer les donnée de l'action en POST même si on clique sur un lien (et non un bouton).

Enfin il n'y a à l'heure actuel aucune sécurité fiable à mettre en place par les webdeveloppeurs contre ce genre d'attaque, on ne peut que les freiner(du moins pour le protocole http). Les mesures que tu décris font passé le temps de développement de l'attaque de 5 minutes à 1h.
En creusant un peu et en étant un peu tordu on peut s'assurer que çà prenne un jour.

La seule sécurité efficace qui devrait être mise en place ce fait au niveau de la programmation des navigateurs.
[/HS]

RE: système de bâtiment!!je sais c'est vague - rorchar - 06-04-2009

Salut Zamentur si tu as un exemple de formulaire a envoyé par lien je veux le bien ce n'est pas de refus car si cela peut m'aider à protéger mon site un peu plus je le ferais avec joie:good:
Et si tu pouvais mettre en opposition un formulaire par bouton pour que je voie bien la différence se serais vraiment super Cool

Je te remercie A++ et bonne continuation
cordialement rorchar!!

RE: système de bâtiment!!je sais c'est vague - Zamentur - 06-04-2009

Et bien:

Code PHP :
<?php 

<form action="index.php?act=supprimer" method="POST">

<input type="hidden" name="nom" value="armurerie" />

<input type="submit" value="Supprimer ce batiment" />

</form> 

Ici on imagine qu'il y a l'image du bâtiment ainsi que ces infos à coté du bouton supprimer ce bâtiment
Donc là c'est un formulaire POST par bouton, c'est sécurisé puisque la donnée de l'action suppression (5) est envoyé en POST
Par contre on ne souhaite peut être pas avoir un bouton qui est pas forcément très esthétique on souhaite peut être avoir un lien ou encore une image lien...

Du coup on peut faire ceci:

Code PHP :
<?php 

<form name="suppr_bat_5" action="index.php?act=supprimer" method="POST">

<input type="hidden" name="nom" value="armurerie" />

</form>

<a href="javascript:suppr_bat_5.submit()">Supprimer ce bâtiment</a>

Ainsi tu as un lien au lieu d'un bouton. Petit désavantage la seconde méthode utilise javascript.

NB: enfin il est possible de faire un script javascript qui permettent d'éviter d'avoir à écrire le code du formulaire. Ce qui est assez chiant!
Et de faire ressembler le code à çà:

Code PHP :
<?php 

<a href="javascript:action('supprimer','nom=armurerie')">Supprimer ce bâtiment</a> 

Ce qui est quand même plus court. Je suis en train de voir pour en faire un car çà simplifie grandement.

NB2: l'important c'est de retenir que :
<a href="index.php?act=supprimer&nom=armurerie">Supprimer ce bâtiment</a>
est dangereux, car là moi je peux supprimer les bâtiments de n'importe quel joueur avec une simple image. Avec le post c'est un peu plus complexe.

RE: système de bâtiment!!je sais c'est vague - rorchar - 06-04-2009

ok sa marche je vois tout a fait ce que tu essaye de me dire pour la méthode par java-script j'ai pas encore vu mais sa ne devrait pas tarder en attendant je vais appliquer l'autre méthode.:respect:
Merci beaucoup et surement à très bientôt:good:
A++ cordialement rorchar!

RE: bâtiment=>ressource==évolution!! - rorchar - 05-05-2009

Bonjour a tous !!

Cela fait maintenant un moment que je ne suis pas venu sur le forum de jeuweb.org et pour cause je suis très occupé par ma vie IRL bien sur mais aussi par la continuation du développement de mon jeu.(h)
La dernière fois que j'ai posté sur ce sujet c'était parce que je ne voyais pas bien comment faire pour ma page "bâtiment".
Eh bien figuré vous que cela avance à grand pas car j'ai presque réussi à faire les 3/4 de ce que je voulais faire et qui est pour moi une joie de pouvoir vous le dire!!:good:
Et j'ai une autre bonne nouvelle que je voudrais vous faire partager:
Pour les tests de ma page bâtiments il me fallait des "ressources" j'aurais simplement pu mettre un chiffre quelconque et faire comme si de rien n'était.
Eh non lancé dans mon élan et voulant réussir cette étape moi-même je me suis bougé les fesses et en regardant dans le wiki qui m'a aider à comprendre le principe je peux maintenant vous confirmer que mes "ressources" sont opérationnel même si il me reste à prendre en compte 2 ou 3 détails.
Et voulant faire partager ma petite expérience a toute la communauté j'ai décider de publier certaine partie de mon code "ressource" avec les explications et mes réflexions qui j'espère en aideront plus d'un mais étant un travail des plus sérieux ba oui parce que je vais pas mettre n'importe quoi je vais d'abord le rédiger sous word et le fignoler le plus possible et le remettre à un opérateur ou un modérateur donc si il y en a 1 qui passe qu'il me disent à qui je dois l'envoyé d'ici un petit mois j'espère j'aime bien les choses bien faites!!:motard:

Sinon l'autre raison de ma venu sur ce magnifique forum!!:respect::

Actuellement je viens presque de finir ma fonction incrémentation des bâtiments + prises en comptes de tous les autres paramètres.
Lorsque que je suis sur la page bâtiment (affichage de tous les bâtiments + ressource qu'il faut + niveau) et que je clique sur "construire mine de niveau 2" je passe sur une autre page (par lien) qui en fait gère tous les paramètres et s'occupe d'établir la fonction "incrémenter le bâtiment en vérifiant si il y a les ressources nécessaires".
Ce que j'aimerais c'est une fois la fonction finis sur la 2ème page (la fonction) que cela revienne automatiquement sur la page d'affichage.
J'ai penser à mettre le tout sur la même page mais je me suis dit qu'il valait mieux séparer le tout pour pas que cela devienne trop confus et qu'en cas d'attaque il y est un minimum de dégât.

Donc voilà pour ceux qui aurait une idée je suis preneur et si un opé ou un modo peut me dire à qui envoyé le future document word!! Big Grin

RE: bâtiment=>ressource==évolution!! - jo_link_noir - 05-05-2009

header ?

RE: bâtiment=>ressource==évolution!! - rorchar - 05-05-2009

Merci beaucoup:good: je vais lire ça très attentivement(h) bonne nuit
cordialement rorchar!

Edit: Voilà j'ai lu le maximum j'ai compris ce qu'il disait et j'ai fait quelques essais pour l'instant sa marche comme sur des roulettes merci A++