Reprise du message précédent :
note pour plus tard : éviter de tester des sites minuit passé.
le bon côté, c'est que tu est maintenant au courant que ca restera à améliorer ce petit bout.  
Amon avis, il vaudrait mieux un bouton nomé "commander ce produit" ou "ajouter ce produit au panier" à la place de "choisir cette version" et au lieux d'un simple "valider", mettre quelque chôse du genre "tester les changements".
Pour moi, "valider", c'est "valider le produit pour le commander", pas jsute "valider les changements". En fait, c'est surtout le libellé de ce qu'est trompeur.

oui d'ailleurs je prends note de toutes tes remarques ! elles sont importantes... moi je me suis contenté de faire des trucs en suivant mon intuition (pour l'instant) mais je sais que c pas toujours évident pour les visiteurs.. mais ça pour moi ça fait partie de la periode ou je vais faire le graphisme et guider les gens avec des trucs plus visuels

bah t'as le droit ! lol ! c'est ton papier ! c pas le mien !  

vas-y.. rajoute encore une couche !

Je tombe un peu par hasard sur ce topic, je lis et je me marre (pas besoin d'expliquer pourquoi..)
alors j'ai cliqué, j'ai fais validé validé...
 
Je tombe sur ton panier, je clique sur la grosse croix pour en supprimer un => Erreur javascript
Je ne sais pas si va t'aider lol
Mais franchement t'aimes bien te faire allumer pour insister autant

j'hallucine !! yen a pas un pour rattrapper l'autre je crois !!!! je suis en train de bosser dessus là !! foutez moi la paix avec vos reflexions à deux balles !!! Putain la seule chose que vous arrivez à me faire comprendre.. c'est l'étroitesse d'esprit qui reigne dans le monde des développeurs ! Dans le genre à tailler des shorts vous en connaissez un rayon ! j'aimerai bien voir un de vos sites à quoi il ressemble quand il est même pas 50% de sa realisation ! ça doit etre bo aussi tiens !

voila c fait pour le .htaccess .... ça vous calmera un bon moment !

non mais vraiment je sais pas ce que c t votre petit jeu mais j'ai pas trouvé ça tres drole !

... tu appelles ça un conseil ?

le seul qui m'a donné des conseils constructifs c'est omega2 !! les autres vous n'avez fait que cracher votre venin de façon lamentable !

tu as posé une question à laquelle j'ai répondu, mais tes posts suivants ont clairement montré que tu n'as pas les compétences pour gérer une application e-commerce.
 
1/ je suppose que tu ne fais pas ce site pour la gloire, et qu'il a une finalité commerciale, donc à moins qu'il ne soit que pour toi et que tu sois seul impliqué, prends conscience des risques que tu fais prendre à la société pour laquelle tu développes ce site, qui recherchera ta responsabilité le jour où qqun profitera d'un panier troué...
 
2/ un développeur professionnel programme sur un environnement de test... fermé. Que tu nous donnes accès à ton appli pour montrer tes problèmes est une chose, mais le fait est que tu développes directement sur un site en production, puisque sur le net.
 
3/ je n'ai effectivement pas pu aller jusqu'au panier dont tu parlais hier, après avoir perdu mon temps à comprendre comment fonctionne ton site. Tu viens ici demander de l'aide, en contrepartie essaie d'avoir le respect de reconnaitre tes limites et de ne faire perdre leur temps à ceux qui veulent t'aider.

Ok je le balance, mais c'est juste pour voir si il y a réelement des failles que je ne pourrais pas traiter et donc je ferais appel à quelqu'un de plus expérimenté :
http://www.speedminfrance.fr/panier/
Alors si vous choissisez le paiement par carte de crédit, vous verrez que c'est le serveur de test, et donc à utiliser avec des numéros fictifs :
1234567800 = bon
1234567855 = pas bon
Il faut que la date soit ultérieure à la date d'aujourd'hui, et pour le cryptogramme visuel : 040 ou 000
 
Voilà, c'est juste pour esox_ch...
 
PS: J'ai pas besoin de critique sur le choix du code HTML, j'ai déja donné.

1ere faille que j'ai trouvé :
http://www.speedminfrance.fr/panie [...] add&ref=-1
 
En soit meme c'est pas dramatique mais ça peut p-e cacher d'autres failles (j'ai pas cherché plus loin)
 
Ensuite, il faut que les données soient transmisent en SSL , la tu envoies mon nom/adresse & co en clair ... pas cool
 
J'ai pas testé parceque ton HTML est un vrai foutoir, mais je me demande ce qu'il se passe si je t'ajoute un pays avec des caracteres bizards ou je te modifie le champs monsieur/madame... Si qqn se sent pret a se jeter dans l'html ...

ouais le japonais/chinois ne passe pas

Le champs pays c'est bon, ça affichera  juste un pays avec des caractères bizzards, et pour le champ M./Mme il prend M. par défautl si il comprend pas ce que tu lui transfère...
 
Heu sinon pour la ref -1 j'avais vraiment pas vu lol pourtant on me le dis souvent en cour de testé ces trucs... Enfin pour ce cas si il suffit juste de vérifier sa présence dans la base de donné avant de l'accepté...
Pour le transfert des données qui qui ne sont pas en SSL je suis d'accord mais t'a vu le prix pour avoir un certificat SSL???
 
Par exemple je connais un site de vente en ligne de matériel d'info, trés bien connu, et pourtant ne dispose pas de SSL pour t'enregistré...
Oui je sais c'est pas parqu'il le font pas que je dois faire pareil... Mais t'as toujours le choix de faire la commande par papier... Et donc envoyer aucune donnée.

c'est un choix, tu verras le prix quand tu te retrouveras au tribunal...
 
et pour info le certificat peut etre autosigné et donc gratuit, ce qui n'est pas bon commercialement mais crypte exactement de la même façon les échanges...

ce site à effectivement une finalité commerciale, je prends conscience des risques par rapport à ce site et surtout je prends conscience que ce site n'a aucun cahier des charges valide !!! donc si ya un probleme... je ne serai pas responsable ! je vais tenter de limiter les dégats moi même ! Entre parentheses c'est le deuxieme site de e-commerce que je fais.

je travaille directement sur le site en production pour les raisons que j'ai deja expliqué ici... je travailel sur un serveur mutualisé.. et ne connaissant pas les limites technique que l'hebergeur m'impose.. je teste mes appli directement sur le serveur.. j'utilise des plug ins un peu particuliers que je suis pas certain que tous les hébergeurs utilisent.. en particulier ImageMagick. en ce qui concerne l'acces au site par n'importe qui.. ce site est censé etre connu de personne ! d'ailleurs il n'est pas du tout à sa place definitive !!! .. de toutes façons le probleme est reglé.. j'ai installé un .htaccess depuis cet apres midi

une fois de plus je repete que l'ergonomie du site est encore au stade embryonnaire ! et je vous ai pas demandé de vous attarder là dessus !!! concernant mes limites je les connais !!! je sais tres bien que je suis pas encore un as de la programmation.. mais je sais aussi que j'ai du potentiel dans le domaine ! et les seules choses que j'ai eu droit de votre part c'est en résumé : "rentre chez ta mere et change de metier" et niveau aide je pense en avoir eu tres peu de constructive de la part de vous tous !!! je sais pas ce que je vous ai fait.. Mais là ça fait deux ans que je suis sur ce forum et c la premiere fois qu'on s'acharne sur moi comme ça !

Sauf que moi je vois un truc autosigné, j'envoie le mec balader ... Mais c'est clair que c'est deja beaucoup mieux que rien
 
[Edit] Si on s'acharne sur toi c'est que les mecs comme toi ont apperemment beaucoup de peine a piger qu'un site ou il y a des tunes qui circulent c'est pas un jouet! Quand on voit les questions que tu poses et ,le fait que tu veux absolument avoir raison alors que les gens qui te repondent sont beaucoup plus experimentés que toi, la seule conclusion a laquelle on peut arriver c'est "Tu n'es pas en mesure actuellement de garantir un site e-commerce". Tu peux taper du pied, te rouler par terre et dire qu'on est mechant, ça ne nous confirmera que d'avantage qu'on a raison.
Webdev c'est pas un metier qu'on apprend sur le coin d'une table en aillant acheter php pour les nuls. C'est un vrai metier, qui demande une formation continue, le mec qui est une pointure maintenant et qui arrete de s'informer pendant 2 ans, il sera retrogradé au rang d'incapable .  
 
Je ne dis pas que tu dois changer de metier, je dis juste que pour le moment tu ne DOIS pas t'attaquer a des sites d'ecommerce, parceque meme si tu es tres sur de toi, tu n'as pas le niveau necessaire pour en developper un.  
 
Maintenant fait ce que tu veux, si l'entreprise en question se fait hacker, a la limite ça sera bien fait pour elle, ca lui apprendra a vouloir economiser des tunes en prennant le 1er venu. Si c'est qqn qui attaque en justice l'entreprise parcequ'il c'est fait braquer sa carte de credit, prie que l'entreprise prenne tout sur elle parceque si elle te lache l'affaire dans les pattes, tu pourras vendre tranquillement ton ordio

Oui je pourrais faire un certificat autosigné, mais si quelqu'un regarde il va pensé savoir que c'est un faux et donc ptet évité de commander.
Moi perso je préfère un site sans certificat qu'un site avec un faux certificat...

 
  Y a des jours ou je me dis que les modo devraient faire des bot qui reperent ce genre d'imbecilité et bannissent aussitot l'auteur

Ben écoute si tu fait un site avec un faux certificat c'est que tu peux vouloir cacher quelque chose, moi si je serais un hacker pour faire en sorte que le client soit dupé ben je ferais un certificat auto-signé non ???

Donc pour etre sur de pas perdre un client , tu preferes le mettre en danger ?
 
Belle philosophie...

Mais non mais autant avoir un certificat autant que ce soit un vrai

attends je crois qu'il y a un mal entendu depuis le debut là ! j'ai posé une question au debut.. concernant les bases de données... quelqu'un m'a repondu gentillement.. et toi d'un coup tu m'a agressé ! j'ai jamais dit que je voulais toujours avoir raison ! si c t le cas je viendrai pas ici pour poser des questions ! j'ai juste dit que vous vous etes arreté sur des détails qui étaient hors-sujet !!! et je comprends pas encore ce qui vous fait dire que j'ai pas les compétences pour faire du e-commerce ! pour l'instant mon appli ne fait que construire des cartes de visites en PDF !!! la partie e-commerce est tres faible dans mon appli ! elle se situe tout à la fin et n'est même pas encore créé !!! j'ai fait qu'une simulation de tarification et c'est tout !!! vous croyez que je vais demander le numero de carte de credit directement apres ??? vous me prenez vraiment pour un imbécile !!! je sais tres bien comment ça marche apres.. on a pas pris un systeme de paiement sécurisé chez SIS-Atos pour faire joli ! je sais tres bien quelles sont les informations qui ne doivent pas etre diffusées sur mon site ! et il n'y aura pas de panier percé !!! Quand à mes compétences je les ai pas obtenues avec PHP pour les nuls.. j'ai suivi des formations et contrairement à tout ce que vous pouvez insinuer j'ecoute les conseils que chacun peut me donner... j'ai un but dans tout ça... je developpe pas pour faire joli !

Tout a fait. Mais entre avoir un certif home-made et pas en avoir , je prefere encore le 1er.
 
Ca me rappelle une petite anecdote. A l'epoque je jouais pas mal a un jeu massivement multijoueur payant, et j'avais remarqué que la société qui gerait le serveur n'avais rien mis comme secu niveau SSL & co... Ce qui m'a un peu enervé. J'ai passer quelques jours dessus et j'ai trouvé une faille de secu . J'ai chopper une 15ène de numero de cartes de credit , et j'ai envoyé un email aux personnes correspondantes en leur expliquant que je leur conseillait de resiglier leur abo vu la secu ...  
Je pense pas que ce soit grace a moi (quoique... p-e ca a donné un pti coup de pouce) mais le responsable du serveur a été remplacé apres un peu moins d'un mois ... La reputation du serveur était en chutte libre...
 
Moralité : Si vous voulez pas attirer un couillon en vacance qui a rien a fouttre a part vous emmerder , prennez du SSL

oups, fausse manip à la modif.
je disais donc que pour être sur de pas perdre de client, tu préfairais prendre le risque que les données de tous tes clients soient interceptés.
 
Donc le edit qu'était prévus : pour toi dans l'ordre, c'est le certificat certifié par un "organisme de confiance", aucun certificat, puis le certuificat auto certifié.

Voilà une info qui aurait évité pleins de messages.

bah on m'a pas posé la question non plus !
 
d'ailleurs si vous voulez une preuve... ya juste à aller sur http://www.clonecopy.net et passer une commande !!! allez y ! ce sont les mêmes identifiants !
 
PS : c mon premier site du genre ! alors soyez sympa cette fois !
 
PS2: le site est en prod oui.. Mais il n'est pas encore officiel !! forcement j'attends que mon boss me donne les infos qui manquent pour le finaliser et le referencer !

trop tard, google est déjà passé par ici, le site est référencé.

oui je sais ! c c eque j'ai dit à mon boss ya 6 mois !! ça l'a fait rigoler !!!

Moi quand j'ai dit ça on a continuer à me décendre en flamme

ha? j'espéres que c'était jsute pas de chance.

Pour info, suffi pas d'avoir un SSL valable pour ne pas avoir de failles ... Enfin bon je crois que de toutes facons tout a ete dit ... A bientot

Je suis d'accord, d'ailleur je corrige la faille que t'a trouvé enfin là je vais allez dormir mais elle est déja corrigé sur mon cahier des charges...

Voilà ma petite faille est corrigé, je vais donc ausse faire un cryptage ssl autosigné et expliqué au gars qu'il devrait acheter un certificat...
 
Toujours est-il que je pense qu'on devrait s'entre-aider au lieu de se jeter des pierres... Et puis encore une fois personne n'est à l'abri d'une quelconque erreur que se soit humaine ou software... et donc que l'utilisateur est libre de ne pas faire ses achats en ligne si il trouve ça risqué.
 
Voila et pis dés que je verrais une faille intraitable j'abandonerais aussitôt le projet, mais j'en ai pas encore vue.

Aucune faille est "intraitable" (ou alors c'est des failles dans un protocole/dans le serveur et donc tu ne peux rien y faire).
 
Mais le fait qu'apperemment tu ne maitrises pas tout les outils que tu utilises (sait tu quels sont les risques que tu utilises quand tu utilise une Session? Comment la securiser au maximum?) demontrent que tu n'as pas encore le niveau. Ca ne veut pas dire que tu ne l'auras jamais (apperemment tu as quand meme de bonnes connaissances), ca veut juste dire qu'avant de te lancer dans un truc qui demande de la securité, il faut que tu t'y interesses plus et que tu te renseignes mieux ... Si c'est des liens ou de la doc qu'il te faut tu trouvera pleins de gens prets a t'aider

puisqu'on y vient... d'apres toi esox_ch qu'est ce qui est inévitable pour sécuriser un site ? quels conseils donnerais-tu ?
 
déja concernant mon code.. j'ai choisi de faire une seule page (index.php) dans laquelle se charge des includes selon les parametres actuels de la page... je pensais deja sécuriser un peu mes pages de cette façon là.. ça veut dire surtout que tu peux pas arriver sur n'importe quelle page .. t'es obligé d'arriver sur la page d'identification et t'identifier pour continuer... est-ce une bonne méthode ?

Un site d'e-commerce?

oui entre autres ! sans parler du paiement sécurisé parceque je m'occupe seulement de l'integrer... (comme cité plus haut.. SIS-Atos me paraissent assez efficaces pour sécuriser des paiements)

Donc, en supposant que le serveur soit blindé (pas de ports ouverts & co).
 
Etre sur un serveur dédié => sinon faille du glob();
SID par cookie exclusivement, générée dynamiquement sur le serveur & autres trucs de secu des sessions .
Liaison SSL impérative
Supposer par defaut que tout ce qu'on recoit du navigateur du user est faux et tente de nous hacker (ne jamais se dire : Il peut cliquer juste sur oui ou non donc c'est secure).
Rediriger tout les messages d'erreur PHP vers un gestionnaire qui n'envoie au client qu'un message "neutre" ... Pour empecher qu'il recupere des infos au cas ou on aurait oublier une faille.
 
Disons que c'est deja un bon debut ... Apres il y a probablement d'autres choses a controler mais c'est ce qui m'est venu directement a l'esprit ...  
Perso je prend 2 autres petites secu supplémentaires :
Je met des noms de table/champ générés par un generateur de password. Ca empeche le fait que qqn qui arrive a passer une SQL injection puisse tomber trop facilement sur le nom d'une de mes tables.
Je stoque le md5 du contenu de mes fichiers de session pour etre sur que personne ne les a modifié entre 2 appels.

ça... j'ai pas le choix ! on sera sur un serveur mutualisé !

ça c'est pas déja comme ça par defaut ?

c'est ça qui m'interesse ! là sur ce point là j'ai des choses à apprendre ! j'ai jamais fait de liaison SSL directement sur mon site... (je sais pas si la liaison avec SIS Atos est considérée comme une liaison SSL... ça m'etonnerait !

là je comprends pas trop ce que tu veux dire.. dans mon cas.. je m'arrange toujours pour que l'utilisateur soit identifié avant de pouvoir avancer dans le site... si ya aucune variable indiquant que l'utilisateur est connecté... il retourne à la case depart !

ça je suis d'accord mais il est surement plus pratique de désactiver les warnings quand on est en prod ! mais en dev (même si je ne devrais pas bosser sur le serveur) je suis bien obligé de laisser les messages d'erreur
 

visiblement toi tu brouiles toutes les pistes !!! Mais bon apres c à la limite de la parano je trouve !