Gestionnaire de feedback

[Ter Rowan]

//include

include_once 'configuration.php';

include_once 'fonctions.php';



//input

$action = isset($_GET['action'])?$_GET['action']:'actionpardefaut';



//

include $action.'.php';

je crois qu'il y a une faille de sécurité dans ton code, avec un système pareil le client peut include n'importe quelle page, suffit pour lui d'envoyer dans le paramètre action le nom de n'importe quel fichier qu'il souhaite voir.

Je ne suis pas un expert sur le sujet, bien au contraite mais a priori, il faudrait rajouter une couche du genre :

si $action == valeur1 alors page1
si $action == valeur2 alors page2
si $action == valeur3 alors page3
si $action == valeur4 alors page4

ainsi si la valeur n'est pas une valeur autorisée, il ne tente pas d'afficher une page refusée

mais bon à valider par un gars qui a moins de lacunes que moi sur le sujet

[Sephi-Chan]

Ou simplement de vérifier si le fichier demandé existe sur le serveur.

Sinon, en réponse générale à ce sujet, je propose d'utiliser un framework : ça vous permet de vous concentrer sur la partie applicative de votre site plutôt que sur le reste. Pour PHP, il y a Symfony, CakePHP ou Zend Framework. Si vous n'avez pas peur de vous lancer dans un superbe langage, foncez sur Ruby et son fantastique Ruby on Rails.

De plus, l'avantage, quand on utilise un framework, c'est que la solution retenue pour faire quelque chose est souvent (je dire toujours, mais je me laisse une marge ) la meilleure puisque plusieurs personnes expérimentés passent du temps à y réfléchir.


Sephi-Chan

[Allwise]

Wild-D expliquait que c'était juste pour l'exemple, et il parlait aussi de la "vraie" boucle de dispatching.
Sinon les Frameworks c'est génial, mais faut les utiliser à bon escient... Ça convient pas à tous les projets. Je connais pas trop mal Z-F, mais sa lourdeur m'a fait préférer une solution maison pour mon jeu

[wild-D]

merci Allwise, au moins un qui a suivi