Reprise du message précédent :
Genre le mec il a absolument rien compris

Bon vous commensez à m'énervez là, au lieu de faire des sous entendu dis moi ce que j'ai pas compris.

Déja une solution serait d'utiliser le mod_ssl !
Mais à mon avis le webmaster ne sera pas pour payer 240€ par pour un certificat.
Mais je cherche d'autres solutions

Le probleme n'est pas de te voler tes coordonnées banquaires, le probleme c'est que si c'est toi qui vend ta marchandise, avec une faille je te l'achete toute pour 10 balles et apres c'est toi qui te demerde avec tes fournisseurs... C'est ça le risque.
 
Pour le mod_ssl et le certificat, encore une fois tu reflechis argent et non pas securité ... Ca c'est une mentalité qui merite des claques

Ensuite au niveau de la sécurité pour la base de données, on doit faire attention à la saisie de caractères pour ne pas être victime d'une injection sql.
 
Si vous voulez tout comprendre :
http://www.phpsecure.info/v2/article/InjSql.php

heu ... merci de me l'apprendre

Je ne te l'apprend pas je m'informe ur la sécurité et donc ca peut servir à d'autre que moi !

Oui car je pense qu'il y a d'autre moyen pour sécuriser un site !

.

Bon je crois que je vais arreter de venir sur ce topic ... du moins tant que t'aura pas mis le lien vers ton site final... Parceque la je vais m'enerver

Moi je comprend pas pkoi tu veux attendre le site final !

écoute on va faire un truc je fini mon panier sécurisé avant demain et je te donne 2jour pour que t'arrives à avoir une facture avec n'importe quoi facturé à 1€ !!!
Si t d'accord bien sur ! En échnage si tu y arrive j'avouerais que vous aviez raison et que je ne suis pas assez expert  pour faire ce genre de code.
Mais alors il ne faut pas trouver une faille dans l'hébergement !

STOP !
j'ai lu tout ce qui figurais en dessous de mon post, sircam & co, arretez un peu de l'envoyer balader, parlez avec des mots simple : en résumé, vous avez voulu dire que zzarbi974 a des compétences novices en PHP, et qu'il n'est pas envisageable de pondre une application e-commerce quelconque avec ce qu'il connait. Dans l'ordre : on apprend PHP completement avant de faire quoi que ce soit, avec definition du cahier des charges, estimation des risques encouru par ce type de développement, connaissance d'apache + linux souhaité(mod_ssl ss windows j'y vois mal). zzarbi974 a d'autres compétences, différentes du PHP et c'est pas la peine de le descendre plus que ca. J'avais l'impression de lire, et je pense pas etre le seul, un discours d'enfants en train de se chamailler pour un rien.Vous y etes allé un peu fort.
J'ai le meme avis que vous sur zzarbi974 mais c'est pas la peine de l'insulter(limite).
 
 
En résumé zzarbi974, t'as certaienemnt des compétences en php, qu'il faut avant tout améliorer, surtout etre informé de la façon dont il faut coder pour avoir un script sans faille avant de se mettre dans une application (quelle qu'elle soit, toute appli peut avoir des failles).
 
 
 
 
 

spike > C'est ce que esox et moi-même, on se tue à lui répéter depuis... oh... un nombre conséquent de posts.
 
Il n'y a rien d'insultant à dire qu'il n'a STRICTEMENT RIEN compris à la question et que, surtout, il s'entête à croire être rigoureusement dans le bon alors qu'il a tout faux.
 
Chacune de ses justifications ne font que montrer un peu plus le caractère INEPTE de sa démarche.
 
Sachant qu'avec le peu de compétences dont il dispose, il va non pas créer un site sans risque financier mais se lancer dans une appli de commerce en ligne, et qu'il est persuadé qu'il a fait le tour de la question de la sécurité;
 
Constatant le risque réel que cela représente surtout pour lui (rien à fiche) mais surtout pour les autres, je persiste à dire que tout cela est SCANDALEUX et INADMISSIBLE.

Ah enfin je suis pas tout seul, juste une petite info pour ssl et windows ca fonctionne
Voilà l'adresse pour ce à qui ça intéresse :
http://www.manuelphp.com/phpBB/viewtopic.php?t=770

Et je ne ferai pas l'affront de lister ici la somme des inepties débitées sur aussi peu de place.
 

 
Désolé, je n'insulte ni n'enfonce personne, mais je trouve sa démarche tout simplement inacceptable.

... Le pire, c'est que ce genre de bricoleurs creusent leur propre tombe. A terme, il y aura forcément un accès à la profession qui ne manquera pas de pénaliser des gens compétents mais sans diplôme.

Pour ma proposition je n'est pas besoin que du me dise pkoi mon code n'est pas sécurisé, je voulais juste que tu me prouve ce que tu me dis !

sur un serveur de prod je m'y tenterais pas

Oui mais moi je parlais en local

Comme moi d'ailleurs ... C'est pour cette raison que j'espere (meme si sans grande conviction) qu'on pourra en passant une suite d'examens obtenir un diplome ...  
Parceque ca fait bientot 10 ans que je m'interesse a l'informatique et ça me ferais mal qu'on me dise que je suis inapte a faire un site ...

A quoi bon ? Quand je te répète 10 fois que tu n'a rien compris et que tentatives de justification ou d'explication ne font que confirmer ta méconnaissance complète du sujet, tu n'en tiens aucun compte.
 
Ta proposition même est complètement absurde. Le fait même que tu la fasses ne fait qu'en remettre une couche.
 
Tout ce que tu cherches, ce sont des gens qui abondent dans ton sens pour te conforter ou t'encourager.
 
Tu écartes toute remarque ou conseil qui ne répond pas à tes attentes.
 
Tu refuses d'admettre que tu n'as pas les compétences requises parce que ça n'arrange pas tes affaires. Et ce qui est inacceptable, pour la 10è fois, c'est que tu fais courir un risque financier à autrui.
 
Pour le surplus, tu ne seras pas le premier frimeur à se retrouver avec un système hacké en bonne et due forme. Et ce ne sera en aucun cas par moi.
 

C'est ça le problème : ce genre de système a toujours une part d'arbitraire, surtout les premières années après sa mise en place. Ainsi, un diplômé qui n'a jamais exercé dans le domaine aurait certainement accès, alors que des gars comme toi, non.
 
Egoïstement, je suis certainement du bon côté, mais ça ne me plaît pas outre mesure. Par contre, qd je vois ce qui se pratique, c'est à hurler et j'en viens à espérer un tel contrôle, même trop strict.
 
     

putain que j'en ai marre de cette catégorie PHP ....
 
bon, visiblement, l'ami zarbi n'a pas l'air de vouloir comprendre qu'il a tout faux, donc je me contenterais de vous demander à tous de bien vouloir débattre calmement et sans insultes faute de quoi je serais dans l'obligation de fermer ce topic (encore...)
 
merci de votre compréhension

 
Je me t'assurer qu'en on a autant marre que toi que ça degenere ...

ben ouais, mais c'est chiant à force

Perso, je comprends esox et sircam. Ils devraient se cotiser pour lui offre un abonnement a M.I.S.C.
A+,

zzarbi974> La boite dans laquelle je travaille est spécialisée dans le commerce en ligne => tu peux croire ce que je vais te dire.
 
Ce que tu veux faire, et qui t'a été demandé par ton employeur est hyper dangereux. je me demande même si c'est pas illégal.
La sécurisation du e-commerce ca s'improvise pas. C'est pas pour rien que les boites qui en font passe par des sociétés tièrces spécialisées, souvent des banques ou des produits comme SIPS (je te laisse googler) pour traiter ces problèmes. Le but étant que les données bancaires des clients ne soient jamais en leur possession (toute la transaction bancaire s'effectue sur le site bancaire spécialisé). Car dès que tu détiens ces informations, tu en es responsable. Et ces informations, si elles passent par ton site, tu les détiens ! Même si tu ne les stocke pas, peu importe ! Elle sont passées par toi => tu en es responsable.
En cas d'utilisation frauduleuse de ces données, le site que tu veux mettre en place sera juridiquement responsable d'avoir laissé ces données accessibles. Je me demande d'ailleurs si tu ne pourrais pas être considéré comme complice, car c'est grace à toi que ce système aura été mis en place. De plus j'imagine que tu bosses au black, ce qui n'arrange rien. Je serais toi j'y refléchirais à deux fois avant de me lêler à ça ... surtout si c'est pour 50€ comme tu dis
 
Bref, crois moi, ce genre de truc ne s'improvise pas. Propose à ton employeur de passer par des services spécialisées. C'est payant, c'est sûr, mais au moins y a pas de risque de finir en taule !
 
Par exemple, le simple fait de laisser saisir les coordonnées bancaires sur un site en clair (sans SSL) est une énormitée dont tu ne sembles pas te rendre compte... n'importe quel proxy va logguer tout ce qui passe, les données peuvent y être stockées en cache, etc ... Et des proxys non sécurisés, y en a dans la nature, crois moi !
Et je parle même pas de l'envois des infos par mail    
 
Vraiment, je te conseille pour toi, ton employeur et les éventuels clients de ce site de ne pas continuer dans cette direction.
 
Si j'oublie pas, j'essayerai de me renseigner demain pour savoir si c'est légal le faite de récupérer les infos bancaires via internet pour les resaisir sur un TPE, mais j'ai de gros gros doutes !! Ca m'étonnerais que les banques acceptent ce genre d'utilisation pour leur TPE : imagine le nombre de fraudes qu'elles risquent.  
 
 
 
J'espère sincérement que je suis arrivé à te faire prendre conscience de l'erreur que tu es en train de faire.

ouais, enfin y a des façons de dire les choses ...
 
je pense pas que zzarbi974 soit malhonnête, et il est surement pas imbécile. C'est juste qu'il ne se rend pas compte de ce qu'il est en train de faire ...

Oui, oui, d'ailleurs esox et sircam ont pas dit qu'il etait incompetent en prog, simplement qu'il etait inexperimenté, au vu de ses propos, et que celà pouvait donc avoir de graves consequences.
La programmation, et en particulier celle des sites web, c'est un artisanat, et on passe pas du stade apprenti au stade maitre d'oeuvre en lisant quelques articles trouvés sur le web fussent ils pertinents.
A+,

Avec ce post je pense que vous m'avez vraiment pas compris,
moi je fais un panier :
1- donc le gars arrive sur le panier il choisit ces articles ...
2- il clique sur commander
3- il rentre son nom et son adresse pour la livraison et pour la facturation
4- il choisit un moyen de paiement :
   Virement bancaire - Alors le site affichera les coordonnée bancaire du commerçant
   Cheque ou mandat postal - Alors le site affichera les coordonnée du commercans plus une facture à imprimer
   Paypal - Le site le dirigera vers paypal
   Carte de crédit - le site le redirigera vers un tpe avec mod SSL(cyberplus) où là on devra entrer les numéro de carte!
                     ces numéro ne transiteront jamais sur mon site, je n'y aurais jamais accés ! J'aurais juste réponse vrai
                     ou fausse pour valider ou non la transaction !
5-En meme temps que le virement bancaire, les cheque ou paypal, mon site envverra un mail à l'utilisateur qui validera
  sa commande sous réserve que le paiement soit valide
  Pour le paiement par carte de crédit, ala fin de leur transaction il y aura un lien de retour vers mon site qui contiendra
  la réponse de validation de la transaction.
  Et selon le cas l'utilisateur aura un mail de validation ou de refus !
Donc les seules donnée que j'ai a traité sont celle du commercant et les coordoonées du client!
 
De plus sur la majorité de site où j'ai déja fait des achats, je n'ai jamais vu un site où lorsqu'on demande les coordonnées du client il y a un cryptage SSL...
Aussi dans oscommerce par exemple les données du client dans la base de donnée ne sont pas crypté, seul le mot de passe l'est !
Donc si mon code est bien construit et que je vérifie le format de toute les entrées que ce soit en GET ou en POST, que je fais des addslashes() et des htmlspecialchars() sur les texte...
Je pense alors qu'il n'y a pas de risque pour que quelqu'un de mal intentioné puisse moddifier les prix à son avantage.
Et je n'ai jamais dis que j'était expert sinon je ne demanderais pas de l'aide...
Et je pense qu'a mon niveaux je dois pouvoir sécurisé des donnée au maximum, je ne voit pas vraiment de quoi un expert peut savoir de plus que moi je ne pourraipas utiliser à ma guise.
 
PS: Sur ma dernnière phrase j'éspère que vous n'allez pas la comprendre dans le mauvais sens !

Ben non jsui pas malhonnête, contrairement au entreprise qui facture un site à 400€ pour une page d'acceuil simple, je me permet de la faire à 20€
Car je suis outré de voir qu'on peut faire payer aussi chèr alors qu'avec dreamweaver ou autres on peut le faire en 10min ! D'ailleur j'ai déja dit à plusiseur personnes qu'il devrait faire une formation d'une heure sur un logiciel pour leur site, ça couterai moin chère!(oui je sais l'entreprise a des charges, et des employé a payer mais ca faire chere quand meme pour le peut de temps qu'on passe dessus)
Enfin bref C'était une petite parenthèse, donc y a une semaine je ne savais pas ce que c'était une session depuis j'en ai appris bcp ! Oui je sais ca confirme vos paroles... etc...
Mais toujours est-il que mon panier est là et que la seule faille (pour moi) qu'il y parait encore c'est les addslashes() que je n'ai pas fait pour les get et post.
 
Maintenant si il y a d'autre faille insurmontable, j'attend de vous que vous me ls montrées, et que vous me dissiez pkoi elles sont si problématique, et que mes connaissances ne sont pas suffisante pour résoudre ce problèmes. Alors dans ce cas si je m'arretrais !
 
Ah y a une autre faille, c'est si quelqu'un récupère une sessions en même temps qu'un utilisateur est sur le site dans ce cas le premier utlisateur pourra ennuyer le second en remplissant son caddie, mais il n'aura pas ces donnée vu que soit elles ne seront pas encore rentrée soit elle auront été détruite par le code aprés l'envoi du mail de confirmation!!!
Vous allez me dire alors qu'elles seront accessibles pendant le laps de temps qu'il y a entre la saisit des infos et l'envoi du mail et dans ce cas moi je pense cypté les données.
 
Voilà et depuis le début je ne demande qu'on me prouve que je n'ai pas les connaissances suffisantes, et comme réponses j'obtient :

Sans m'expliquer ce qui ne vas pas !

effectivement, j'avais mal compris, comme les autres je pense ...
mais dans ce cas, je ne comprends pas ta phrase "les informations sur les clients ne seront pas stocké sur le serveur, elle seront juste envoyer par mail au webmaster du site".
Quel est le besoin d'envoyer des infos par mail ?  
 
 
Concernant ta remarques sur le SSL, n'importe quel site un peu sérieux passe en https dès l'accès à l'espace perso de l'utilisateur. Va voir sur LDLC par exemple ...

ben c'est pas la même qualité : ils ont des graphistes, des web designers, des ergonomistes, ...  
et eux c'est pas au black => c'est légal, ils payent des licences pour les logiciels qu'ils utilisent, ils payent des charges pour leurs employés, des vrais salaires (pas de l'argent de poche), etc.
 
 
Pour le reste, on ne peut juger de la sécurité d'un site sans le voir. Mais si tu débutes en programmation web, il est hautement improbable que tu arrives à faire un site sans faille du premier coup.
Elle est vraiment inconsciente la boite qui te confit ce dev ...

En fait sur le site à chaque fois que l'utilisateur fera une commande il sera obliger de réentrez ces infos (Dans infos je comprend son nom, prenom, adresse, etc... Donc pas de numéro de carte de crédit !!!!)
Donc une fois les infos entré dans les variables de sessions, il faut bien que le commercant sache où et quoi envoyer et à quel client non ? Donc ces infos seront simplement envoyer par mail au commercant et comme confirmation de la commande au prés du client...
Voilà donc je pense avoir suffisaments de connaissances pour réaliser ce panier !

Oui c'est clair c'est pas la même qualité je suis programmeur pas graphistes...
Mais j'ai rencontré beaucoup de personne qui ne veulent qu'une page simple dénué de photo juste avec du texte...
Mais je pense que je vais me légaliser et donc utiliser une société de portage et dans ce cas augmenté les tarifs car 55% n'est plus pour moi.
 
Et je ne débute pas en prog, ca fait plus d'un an que j'en fait je débute juste avec les classes du C++ et la programmation objet.
Et pour le php je sais bien que les sites que j'ai fait ne sont pas sécurisé je m'en suis rendu compte depuis. Mais comme c'est des petites sites perso, ce n'est pas très grave.
D'ailleur je vais surment les sécurisé plus tard mais si je ne commence pas un jour je ne serais pas faire de tel site...
Donc je vois pas pkoi on me dit que je peux pas (pas suffisemment de compétence) quand je demande comment bien sécuriser ce panier? On m'a jamais demandé si je savais utilisé tel ou tel outils, on c'est juste contenté d'insinuer que je n'était pas assez compétent (surement à cause de la maitrise de mon français...)!  
C'est sûr qu'il ne sera pas sécurisé du premier coup c'est pour ça que je veut avoir des testeur...

Petite modification :
La news en question est par exemple ici :http://www.clubic.com/actualite-21 [...] urnee.html
Donc en la relisant(car je l'avais lu assez rapidement la première fois)je comprend que j'avais pas très bien compris la première fois mais je pense que on peut quand même utilisé cette outils de façon malveillante sur un site.

J'avais préparé une longue réponse, une démonstration, point par point, de toutes les erreurs grossières montrant sans équivoque que tu ne maîtrises absolument pas la matière et que, partant, tu fais prendre un risque inconsidéré à des tiers - car c'est bien là l'unique raison de notre irritation.
 
Et plus je te lis, plus les bras m'en tombent.
 
Tu n'es pas malhonnête, ni incompétent en design, loin de là, mais tu es parfaitement inconscient et tu a une bien trop haute idée de tes capacités.
 
Allez, juste une pour la route.
 

 
Ca me laisse sans voix. J'abandonne, ne m'en veuillez pas.
 

Esox> +10^10.
 
J'étais parti dans le même genre.
 
allez, encore une :
 

Waooow ! J'adore la conclusion sur base de prémices aussi légères : "je pense avoir suffisaments de connaissances".
 
Et la protection des données à caractère personnel ? Naaaan, jamais entendu parler de ça. Pq, il faut les protéger ? Mais je les envoie par email, c'est sécurisé, non ?
 
A hurler.

 
Donc il suffit de connaître l'adresse mail du commerçant pour se faire envoyer n'importe quel produit. C'est cool comme site
 

parce que tu crois que t'es expérimenté après un an de BTS ??  
un peu de modestie et de remise en question en te ferait pas de mal ...

benou > Quand tu auras relevé ta 10è ineptie dans le discours de zarbi, tu me diras si la modération est encore cool, relax et modérée dans ses propos.
 
Tu t'en doutes, ni esox ni moi ne sommes là pour "enfoncer" gratuitement qui que ce soit. Tu peux en juger par nos interventions sur d'autres topics je pense.
 
Je marque ce topic pour le best of de cette année, catégorie "Moi, Je maîtrise".

avec ROT13
 
Pour travailler dans la sécu informatique, il faut faire quoi ? Ingénieur en monétique ? autre ?