Reprise du message précédent :

ben au debut de la page admin.php tu regarde si le membre est admin ou non, comme ca s'il n'est pas admin, il n'a accées a aucune fonction, si tu melange les fonctions dans le meme fichier, il se peut que tu oublie de faire une test pour un fonction admin, et le gars a accées a la fonction admin.
voila en quoi c'est + sur
 

Si ton argument est un oubli du developpeur et non une preuve informatique alors je reste en mode 1 page

question qui ne se limite pas aux forums, pour proteger ses pages d'admin, avant j'utilisais un password/systeme de session, maintenant un .htaccess sur le repertoire, en terme de securite le mieux c'est quoi

suffit de faire les tests d'autorisation avant le switch qui appelle les fonctions d'admin quand on fait une page spéciale administration

ben les failles de sécurité c'est toujours du a un oublie du developpeur
 
j'ai jamais vu un developpeur faire volontairement une faille de sécurité

En revanche pour l'url rewritting qui pourrait m'en expliquer les fondements car avec le genre d'url a rallonge que génére un forum en 1 page il vaut mieux l'utiliser je pense.
Est-ce à moi d'ecrire mes liens dans la synthaxe correcte et a apache de les transcrire ?
Est-ce à Appache de directement les transcrires ?
Y a t'il un tuto la dessus?
Merci

ben le htaccess c'est le mieux, mais c pas le plus pratique.

 
Fabien tu me dis que c'est mieux de la faire en deux pages pour la raison suivante : au cas ou tu oublis un test.
Je te repond en gros d'accord mais dans l'optique ou on fait le test y'a t'il une vraie preuve car la tu t'appuis sur une hypothese.
C'est comme si je te disais c'est mieux en 1 page car ça évite les erreur de lien , tu vois le genre ...

ben dans mon cas, si ton test est bien fait, t'es sur a 100 % que le membre n'aura pas accées aux fonctions admin, dans ton cas, ce n'est pas sur a 100%.
Il suffit qu'un jour tu soit fatigué, t'oublié de mettre le test et voila une jolie faille
Pour moi la sécurité c'est prevenir plutot que guerir.

Ben pour moi la sécurité ,s'est prévenir les actions de l'utilisateur pas celle du developpeur...
Mais maintenant chacun sa vision

perso, j'ai une fonction qui reçoit la cat active en paramètre ainsi que l'id de l'utilisateur, et me retourne son niveau de privilège le plus haut pour cet endroit, et je vais l'appeler quasi à chaque page

idem

Oui moi aussi je pense que faire un forum en une seul page demande l'url rewriting...
Juste pour faire plus clair au moins.
Sinon, c toi quidoit taper manuellement les url, enfin plutot les préparer pour, et apache redirige c'est tout.

Merci scull
Connaitrait tu un tuto ou l'on explique comment paramétrer Apache pour faire cela, sinon j'ai entendu dire que des .htaccess avais un rôle dans ce procédés aurais mal entendu ?

Rien de spécial à configurer
dans ton .htaccess tu met quelque chose du genre :
RewriteEngine On
et ensuite
RewriteRule ^topic([0-9]+)\.html$ topic.php?t=$1 [L]
RewriteRule [autreexpressionregulieres...]
 
du coté php faut générer chaque url réécrite à la mano  
 
 
 

 
un for de $i<=50000 avec un insert a chaque boucle?

Merci bcp Spike

 
500 000

Invision Board fonctionne comme ca. Enfin, il y a une seule page visible côté client (index.php), côté serveur il y a en fait des dizaines de scripts appellés en includes en fonctions des paramètres GET. Et bien sur, c'est le forum le plus daubé qui soit pour le référencement

bon, le truc des confs renommés en PHP, ça va pas, parce qu'il n'y a pas les balises <??> qui vont bien dedans, mais vu que le répertoire de conf lui-même est paramétré dans mon config.php, la localisation de ces fichiers conf n'est pas forcément connue d'avance

ben tu rajoute les balises

et parse_ini_file, il va skipper les balises et voir mon beau fichier conf au milieu?

[crad]

 
 
[/crad]

 
Nb: ceci pourrait très bien ne pas fonctionner

plutôt un
;<? die('espèce de vilain hackeur'); ?>

 
si t'inclue ce fichier, ca va faire exit aussi

Le but est de faire un parse ini file .

et merde, je viens de me rendre compte que j'aurais pu faire ma page de post plus simple
va falloir la retravailler un peu

question technique: comment vous faites, vous, pour identifier le premier post du topic (et donc, à l'édition, savoir qu'il faut aussi éditer le titre et autres propriétés du topic) ?
 
Perso, j'ai carrément mis l'id du premier message dans la table des topics, ainsi, quand je charge, je fais une comparaison des 2 (plus vérifier que je suis bien en mode édition et pas citation d'un message) et si la condition est OK, j'édite le topic.

Je procède exactement pareil

foreign key powa...

 
Effectivement, ce n'est pas l'idéal (et j'en sais quelque chose ), sauf si ton code est compilé. Tu verras tes temps augmenter au fur et à mesure avec le nombre de lignes. Au départ, c'est minime, mais au bout d'une dizaine de millier, tu verras la différence.

oui je m'en suis rendu compte...
 
Sinon j'ai une petite question : laissez vous une possibilitée de supprimer un topic au moderateur, et si oui modifiez vous les compteurs de messages du forum concerné et des utilisateurs a qui appartenaient les posts de ce topic?
 
J'hésite à laisser cette option ou juste à passer un champ visible à 1 dans la table topic à l'endroit du topic voulu ...
 
Merci pour vos futurs avis

j'hésite... j'ai envie de faire régresser le compteur pour refléter la situation du moment. D'un autre côté, on dit "messages postés".
 
Ce qui est sûr, c'est que je soustrairai le compte de messages effacés des tables catégories et topics, sinon mes calculs de nombre de pages seraient faussés

quand un sujet ou un post est effacé, je décrémente les compteurs

bon, je viens de retrouver un vieux méchant bug dans DaFloodMachine, il ne créait pas exactement le nombre correct de topics que je spécifiais, je mettrai à jour mon zip demain.
 
Eventuellement, je vais penser à attaquer directement la DLL client de MySQL pour éviter la lourdeur d'ADO/ODBC.

quand un sujet qui comporte 100 message est supprimé, est ce que tu decompte de 100 ou de 1 ?

Pour votre anti flood est ce que vous controler que la personne provienne bien du bon formulaire ?
Est ce que la personne était présente il y a moins de x seconde sur la meme page de traitement ( grace a la table des logs) ?
En deposant un cookie post de durer de vie 2 min ?
 
Merci

j'ai modifié DaFloodMachine pour qu'il attaque directement MySQL au lieu de passer par ODBC/ADO, le gain est trop énorme (2.5x plus rapide)

en regardant la date et l'heure de son dernier message.

mmm oui mais ceci ne protege pas d'un flood de creation de topic ou d'un flood d'inscription
Je prefere créer une procedure antiflood appliquable a toutes les entrées de l'utilisateur