bonjour, simple graphiste multimedia, je débute dans la création de boutique en ligne  sans paiement par carte banquaire( arcticles, panier,bon de commande).
 j'aurai voulu savoir si quelqu'un avait un exemple complet de boutique ou une aide complete pour la creation d'un ecommerce pour que je puisse apprendre avec un cas concret.
++

Alors déjà je vois pas exactement ce que tu cherche...
 
Mais s'il sagit d'un script de boutique en ligne déjà tout fait, je dirais mauvaise cat, sinon s'il sagit d'une aide compléte sous forme de tuto : google est ton ami et enfin si tu es à la recherche d'une personne pour t'aider dans la conception d'un tel projet je ne pense pas que c'est ici que tu trouvera ton bonheure.

Si tu veux un truc deja fait => fait une recherche ça a deja ete posé comme question
Si tu veux la faire toi meme, je crois que tu mesures pas l'ampleur de la chose ... Commances par qqch de plus simple ... Une boutique en ligne c'est vraiment la mort commetruc .. meme s'il y a pas de truc de carte de credit

Bah c'est quand même pas la fin du monde non plus, si c'est juste pour faire des bons de commande suffit de faire quelques script :
 
- Liste de produit+cat
- Panier
- Génération du bon
 
Ya pire!

Essaye de faire ça sans aucun trou de sécurité. C'est dessuite beaucoup beaucoup plus dur. Et une boutique en ligne où on peut passer commande, c'est un élément qui ne doit pas contenir le moindre trou de sécurité même petit.
Même si ca semble plus simple sur le papier, c'est en pratique plus dur qu'un wiki ou que certains forums basiques.

Bah si on part sur un projet simple, je pense à une petite BDD avec une liste de produits, il sont affichés sur une page avec un lien pour les ajouter au panier.
 
Pour la validation de la commande, le visiteur fais quelques saisies concernant son adresse, nom & co. Ces saisies n'interviennent pas dans une requête, donc les risques sont limités. Ensuite tu fais la génération du bon de commande.
 
Où pourraient se trouver le risque de trou? Parce que là on parle bien d'un système simple donc je vois pas mais je suis ouvert et je fais peut être erreur.

• prix des produits qui pourait être modifié aprés sélection si pas prévus comme il faut (
• modification des produits dans la base par un "client indélicat" avec tout ce que ca inclus de risque pour la boite et pour les clients. (injection de code javascript par exemple qui serait alors exécuté sur les navigateurs des visiteurs)
• SQL Injection (et donc accés à l'intégralité de la base y compris ce qui n'est pas affiché sur le navigateur)

...
Il y en a d'autres, mais ca me vient pas dessuite à l'esprit.
 
En plus, ca ne restera pas éternellement les même produits avec les même prix j'imagine donc il faudra une interface d'adminsitration qui rajoutera elle aussi des risques de modification de la base sans autorisation.

Oui mais là tu parle d'un système plus complexe que celui auxquelle je pense, moi ce que je dis c'est que tu peux concevoir ton truc de tel sorte que les requêtes vers la BDD ne risquent rien.
 
Ya quoi tout au plus, deux requêtes à sécuriser, celle pour le panier où celui-ci affiche la liste des produits selectionnés et celle qui affiche la liste des produits dans le catalogue.
C'est quand même faisable!
 
Sinon concernant l'interface d'admin, je pense que si tu met en place un système de boutique très simple ca ne doit par être pour des milliers de produits alors ca peut très bien se faire via l'administration de la BDD...
 
Mais je le répéte une nouvelle fois :
Je parle d'un système simple!
 
Et comme on passe par un bon de commande, toute erreur pourra être corrigé finalement.

Le SQL Injection, c'est des requettes inséré dans des requettes.
C'est pas toi qui a prévus des insert/delete/update, mais c'est toi qui a oublier de neutraliser une variable utilisé dans la requette. Du coup même avec un systéme simple, il y a un minimum de vérificatoin à faire et ca peut rendre l'ensemble beaucoup plus long à faire si on oubli aucune des vérifications.

Merci je connais le principe de cette Faille...
Mais ce que je suis en train de dire c'est que tu peux te limiter à deux requêtes, par conséquant ta bien le temps de mettre plein de vérifs sur les données transmises...
 
Qu'est ce qui doit être transmit et qui arrive dans les requêtes? Des id de produit et des quantité, tous entier numérique :
 
is_numeric()
ceil() // Pour que ce soit bien un entier
mysql_real_escape_string()
eregi("[INSERT|DELETE|etc...]",$_GET["id_prod"])
 
La franchement je vois pas ce que tu peux bien trouver comme failles après ces test mais je suis à l'écoute!