<?
/****
* Titre........... : PHPSecureURL
* Description..... : Permet de cacher les paramètres transmis par l'URL pour éviter les "bricolages" par l'utilisateur
* version......... : 0.51
* date............ : 16 avril 2003
* fichier......... : phpsecureurl.pclass
* Auteur.......... : Pascal CASENOVE pascal@cawete.com
*
* licence......... : The GNU General Public License (GPL)
* http://www.opensource.org/licenses/gpl-license.html
*
* changement...... : 0.51 premiere version publiee
*
* A faire......... : Attendre les suggestions
*
* Suggestion...... : Pour toutes remarques, suggestions ... n'hésitez pas à me contacter
* pascal@cawete.com
*
* Description .... : Pour passer des parametres en PHP entre deux pages il est courrant d'avoir une URL du type :
* http://www.monsite.net/mapage.php?parametre1=123&user=456
* Un visiteur peut bricoler les parametres, juste pour voir,
* puis pour afficher des pages auquelles il n'a pas droit,
* enfin pour pour faire des choses non prévues par le concepteur
* Avec la classe code_url ces paramètres sont caches, sans modifier
* votre code, juste en y ajoutant quelques lignes.
* L'URL du debut devient un truc du genre :
* http://www.monsite.net/mapage.php?aku=DFgh4hfdg4454fgHFGHfg44fghfg4
*
* Description 2... : le site que vous créez est rempli de liens du type http://www.monsite.com/index.php?var1=125&var2=1245
* le nom des variables et leurs valeurs apparait en clair
* le visiteurs est tenté de bricoler ces valeurs, juste pour voir.
* et si vous n'avez pas pensé à tout, il peut se retrouver sur une de vos pages qui n'est pas pour lui
*
* cette peite classe code l'url et la met dans une seule variable
* vous avez donc pour votre visiteur http://www.monsite.com/index.php?aku=532u?dfgAdErf12FgfERf
* ce qui est plus difficile à bricoler
* vous faites un appel à cette classe en premier dans votre page et elle décode les paramètres
* et les met dans les variables globales habituelles de PHP
*
* remarques ...... : Il ne s'agit pas de cryptage.
* Il s'agit juste de convertir l'URL dans un format difficile à lire par un être humain
* pour des pages existantes.
* Ce système ne dispense pas des autres systèmes de sécurité
* pour etre compatible votre code PHP doit utiliser les varables transmisent
* soit sous la forme de variables globales soit issues du tableau $_REQUEST[]
*
* Methodes........ : **encode($var) var est l'URL encode retourne une URL codee
*
* **decode($var) est utilisee en interne pour retablir l'URL d'origine et alimenter les variables
* d'environment
*
* Proprietes...... : **decode_url URL decodee
*
* Parametres...... : $var_name nom du parametre transmis par l'URL valeur par defaut aku
*
****/
/*******************************************************************
*
* class
*
********************************************************************/
class phpsecureurl{
// encode les paramètres passés par l'url et les decode
var $var_name="aku"; // mettez un nom de variable "aku" par exemple
var $decode_url; // url décodée
// constructeur decode la variable nommee par $var_name
function code_param_url(){
$this->decode();
}
//*******************************************
function encode($url){ // méthode pour l'encodage $url = par1=toto&par2=tioti& ...
$pos_debut=strpos($url,"?"); if(!$pos_debut){$sep="&";}
$pos_fin=strpos($url," ");
if($pos_fin){
$pos_long=$pos_fin-$pos_debut-1; $fin=substr($url,$pos_fin);
}else{
$pos_long=strlen($url)-$pos_debut-1;
}
$debut=substr($url,0,$pos_debut+1);
$param=substr($url,$pos_debut+1,$pos_long);
$code = base64_encode($param);
return $debut.$sep.$this->var_name."=".$code.$fin;
}
// la méthode retourne un truc du genre ?aku=dfgdfgdgdfgdgdfhgjdfhjghj les paramètres encodés sur un seul
// $url peut etre du type "http://www.moserveur.com/monfichier.php?var1=dfdf& var2=fdsgdf&var3=dfg "
// ou "http://www.moserveur.com/monfichier.php?var1=dfdf& var2=fdsgdf&var3=dfg target=_self"
// ou simplement "?var1=dfdf& var2=fdsgdf&var3=dfg"
//*********************************************
//**************** decode et modifie les variables globales
function decode (){ // méthode pour décoder la variable aku passée en paramètre
// on decode
if($_REQUEST[$this->var_name]){
$this->decode_url=base64_decode($_REQUEST[$this->var_name]);
parse_str($this->decode_url, $tbl);
// on modifie les variables globales
foreach($tbl as $k=>$v){
$_REQUEST[$k]=$v;
global $$k;
$$k=$v;
}
}
}
//*********************************
}
?>
|
Stumble It!
Bookmark in del.icio.us
Download
