j'ai un menu dont les liens HTTP pointent sont des pages PHP.
ces pages PHP affichent leur contenu en lange FR ou US suivat un argument passé dans l'URL :
 
<a href="mapage.php?langue=fr">
 
je voudrais que cet argument langue=fr ne soit pas lisible dans l'URL, remplacer ca par des chiffres ou autre chose.
 
comme c des liens et non des boutons de formulaires je peux pas utiliser POST .
 
comment je peux faire ?

remplacer tes valeurs directement par des chiffres et faire une instruction "switch" dans la page qui reccupere les valeurs
 
ou de l'url rewriting?

 
 
bah tu remplaces "langue" par "zorglub" et "fr" par "pomme"...et tu fais la conversion dans ta page cible...

wé ji ai pensé au switch
mais je me demandais sil existait pas des fonctions genre crypt()

Tu peux tjrs t'amuser à faire un md5 (ou autre connerie du style) du nom de tes paramètres, mais après il faut le gérer sur la page cible...
'fin bref, je vois déjà moyennement l'intéret de cacher ces variables, mais là ça devient franchement tordu...

tordu non
c plutot une securité
imagine que tu envoie comme argument une données un peu confidentielle (le nom de kkun, un mot de passe, etc...)
si ta pas d'autre choix que de l'envoyer dans l'URL, il faut bien systeme pour rendre cette données illisble.
 
c vré que on peut créer un systeme qui reprend MD5, ou chiffrer chaque caractere ASCII de la valeur de l'argument.
et ensuite decoder ce systeme.

 
Si ta sécurité c'est ça, jamais je ne laisse la moindre info sur ton site.
On ne passe PAS de données confidentielles dans l'url. Et si on y passe des paramètres un peu sensibles, on vérifie leur cohérence à l'arrivée.

 
+1
 
toutes les variables issues des utilisateurs doivent être filtrées à l'arrivée, exemple si c'est un int que tu attend, tu le passe dans la fonction setint() etc...
Les arguments passés en url ne doivent jamais contenir de données confidentielles, imagine se qui se passe lorsque google passe sur ton site par exemple...

lol, c qu'un exemple
jamais je ferai un systeme aussi passoire !!
 
mais j'en connais qui en sont capables et qui helas ne reagiraient pas comme nous

 
Alors c'est un mauvais exemple...
Il n'y a rien qui justifie vraiment de cacher ce que tu mets dans l'url. Si tu veux cacher les choses, tu les passes autrement.

c sur que par rapport a la realité, c un mauvais exemple, mais peut etre que des debutants qui ont aucun enotion de securité web pourraient se poser la question.
 
ma question peut etre justifiées si on veut passer des arguments mais qu'on veut etre le seul a en connairte la signification.

bah dans ce cas tu remplaces tes noms par a,b,c et tes valeurs par 1,2,3 et basta...

c globalement ce que je compte faire

 
 
te prends pas pour ce que tu n'es pas. car tu parles des décrpyter un algo de hachage, ce qui prête à sourire...

Simple, tu crées un <form method=post>, des <input type=hidden> et ton <a href="javascript : document.form.submit()>

Et si le visiteur désactive le javascript tu as plus un seul lien qui marche. Trop cool.

beuark beuark JS  

je serai pas aussi categorique que LKoLRn par rapport au JavaScript, langage qui m'est souvent fort utile, mais je suis d'accord avec lui sur plusieurs points.
 
je l'utlise :
- pour des effets visuel pour guider un internaute mais qui influence pas l'exploitation du site
- preske uniquement quand je developpe des intranet et donc que je sais a l'avance quel navigateur sera utilisé
 
il m'arrive aussi de faire des controles indispensables (calculs de marges de prix pour eviter des dumpings) de formulaires en JS, mais je prend soin de rendre le formulaire envoyable que si js est activé (c le JS qui envoie)
 
pour faire des controles qui marchent a tous les coups, faut toujours les faire dans un langage coté serveur au moins t sur que quelque soit le navigateur utilisé par l'internaute (javascript activé ou non), les controle seront fait
 
a mes debuts où je faisais des sites, j'en suis arrivé a lexemple qu e tu donne RobbyOne. C'est certes pratique dans le principe mais je me souviens que g pris ma claque le jour où j'ai testé mon site avec Mozilla (avec javascript desactivé) et que mon site etait inutilisable.

Je disais ça pour les raisons qu'a évoqué skeye... JS ça peut être sympa en effet, pour du graphisme c'est certain c'est dja moins horrible que du html, même dynamisé, mais après ya des abus quand il s'agit du fonctionnement de base des applis...  
 
/*OFF  
Un exemple 3615 malife: cette année c'est ma dernière année d'études (même si g traîné en route^^), on va bientôt être ingés en informatique et donc les dirlos nous ont filé l'intranet de l'école à refaire, histoire qu'on voit les phases de pilotage/analyse/conception/réalisation/intégration/blablabla concrètement et sur toute l'année... Donc nous on conçoit, on sépare par modules, et on répartit le taf de réalisation, etc...
Eh ben les 2 gars qui s'occupaient du module 'Identification' l'ont fait en JS ces gros abrutis (c po méchant c des potes^^).
Résultat: tu désactives JS et boom fini l'Intranet... Et ces mecs vont être ingés dans quelques mois... Moi po comprendre...
OFF*/

Ok !
Je proposait ça en fonction de ton environnement et de ton besoin.
Sachant que d'après ce que j'ai lu ... les messages ne faisaient que tourner autour du pot, demander pourquoi tu veux faire ça, dire qu'on ne peut pas le faire ou des "taka" en rafales qui ne te proposaient rien, donc ...
 
Sinon tu peux aussi passer ton code en jsp et gérer les événements en java pur ! Ca fait un peu énorme comme solution pour juste cacher des paramètres, non ? Genre un bazoka dans chaque main pour exploser une mouche !

 

Les messages lui avaient largement donné de quoi se démerder.
Et non, ta solution n'était pas bonne...quant au java, je commente même pas...

oué ya ce quil me fo pas de pb.
ca me fé une base de reflexion
merci qd meme Robby
Quant a Java, meme si c faisable ca reviendré a ecraser une mouche avec une enclume et de plus je c po coder en Java (mais l'intention est bonne)

 
Sûr quand on ne connait pas, MONSIEUR le donneur de leçon !

MONSIEUR le donneur de leçon ! <---- je dois me sentir concerné ?

Bien sûr que non ! Mais tu as répondu si vite que ton message s'est inséré avant le mien, navré JokariTaff !

 

C'est quoi ton pb, à la fin?
Oui, je connaissais ta solution, mais non, ça n'en fait pas une bonne solution, pour les raisons données plus haut, point barre.

merci a tous pour vos idées. ca a fini par conforter et murir les miennes
du coup j'ai trouvé un systeme

bah voila, tout est bien qui finit bien

 
 
re-
 
 
Pardon

si tu juge, dapres ces extraits, que je me considere comme un pro de la securité web, alors ta du te tromper de forum.
 
mais bon vu que sur Hfr ya toujours des gars qui se ramene pour railler sur les autres et pour surtout rien apporter de neuf, alors vazy eclate toi.

surtout que le topc méritait d'etre clot, et que le message de LKoLRn allait très bien dans ce sens...

il se situe où votre souci ?

 
Rhooo ça va, fais pas ta vexée
 
Si on ne peut plus déconner ...

 
genre    

On peut dire qu'il y en a qui ont le moral en venant sur HFR ...
 
Excuse-moi d'être de bonne humeur aujourd'hui ... pas obliger de flinguer le moral des autres non ?
 
Allez, discussion close.
 
++

 
qq'un peut aussi bien reutiliser ton md5 plutôt que la valeur en clair, ca ne fera pas de difference.  

si je fais un ciffrage MD5 c sur que kkun peut copier mon chiffrage et le décoder avec un décodeur MD5
c pour ca que je compte me baser sur un systeme MD5-like  mais pas utiliser MD5 directement
comme ca j'aurai un systeme non decodable
 
enfin de toute facon mon site c pas le FBI donc je vé aller chercher midi a 14h.

 
On parie?