hello
 
je suis entrain de protéger un code et j'aimerais empecher son execution si on le lance directement à partir de d'une url
 
ex: http://www.toto.com/monscript.php?var=1
 
Je veux que ce soit executable uniquement dans ce style par ex:
 
<script language="JavaScript" src="http://www.toto.com/monscript.php?var=1"></script>
 
qq'un a une idée ? ma solution est une usine à gaz      

Tu as penssé aux .htacces ?

pas con, mais j'ai jamais vraiment utilisé ce fichier

il bloque pas carrément l'accès au répertoire ? c'est juste le fichier que je veux bloquer...
(tu me diras, mets le tout seul dans une répertoire...à
mais uniquement si on l'appelle par l'URL complète
 
 
edit: voila réellement ce dont je veux parler:
dans un fichier html j'ai ça:

 
je veux pas que des gugus entrent ça directement dans une url:
http://ad.mondomaine.com/showad.php?clid=NDk1LTc5Mg==
 
pour lancer le script  

htaccess peut faire cela, et de façon sûre. contrairement au javascript qui ne protegera absolument rien

en partant sur les bases du hotlink par exemple ?

pas compris. répétez, répondez

je disais qu'avec le htaccess pouvait empecher par exemple les hotlinks sur tes images, en faisant de l'url rewriting...
je ne sais pas ce que ça va donner avec du des fichiers php...

 Avec une session non ?
 
  Tu crée un session avec une variable de contrôle dans le fichier où tu a ton Java Script et tu vérifie l'existance ou la valeur de cette variable dans ta page http://www.toto.com/monscript.php?var=1. Si la variable existe ou qu'elle contient la valeur souhaité, alors c Ok tu laisse se lancer ta page sinon tu fais un redirection avec le header ou en Java Script window.location.replace
 
  J'espère t'avoir aidé !  

tu mets une variable de vérification en POST ?

 
  Non, non dans ta session  
 
  // -- Dans le fichier qui contient ton JS :  
 
 

c le meme principe (en mieux ok ok...)

avec la session c'est pas bon, j'y ai déjà pensé:
je n'ai pas forcément accès à la page qui contient le javascript. Et puis elle peut etre en html.
je sais juste qu'elle contient ça:
 

 
et je veux empecher l'execution directe du fichier showad.php
--
 
j'avance les détails: voici à quoi ça va servir: une régie publicitaire.
 
le fichier showad.php?clid=numeroclient identifie l'affilié et affiche la bannière correspondante.
 
seulement, ils ne devront pas s'amuser à le lancer directement pour obtenir la bannière, il faut que le script soit lancé uniquement  DANS une page déjà existante.
 
---
 
le problème de la session est que si je la met dans mon fichier showad.php,  elle sera forcément déjà chargée et le test est toujours vrai
 
 
---
 
à moins que je peux faire 2 scripts:
un 1er <script></script> qui va initialiser la variable
un 2e qui va contenir <script src = "...php"></script>
 
>> comment récupérer en php la variable qui a été initialisée dans le 1er script ?

le mieux c'est de mettre le fichier dans un repertoire protégé en htaccess.
 
et d'appeler une fonction dans ce rép. / fichier via des include.
 
DENY FROM ALL
ALLOW localhost
 
comme ça seul le serveur lui-même aura accès au fichier.
 
oublie les combines en JS <script> et compagnie. c'est pas secure du tout

et un contrôle avec $_SERVER['HTTP_REFERER'] te donne l'adresse de la page qui appèle le script. Tu peux donc vérifier que le serveur en question fait partie des clients.
 
Par contre je ne vois pas le problème de personnes qui l'éxécutent à la main. Pour de la pub, cela fait des visualiations en plus. C'est le but non ?

moi je fais comme ça pour la chaine de connection BD. comme ça, même si le démon apache tombe, le fichier non interprété (source) ne sera pas envoyé au navigateur puisqu'htaccess agut au niveau de l'OS et non de PHP

Non le htaccess agit au niveau Apache et non pas de l'OS. Sans Apache, un htaccess seul ne sert à rien. De plus c'est indépendant de l'OS car le fonctionnement est identique sous Windows, Linux, ...
Si le serveur tombe, rien n'est envoyé puisque apache ne répond pas.

+1
C'est la seule méthode que je vois compte tenu de ta problématique de script public.

j'ai essayé aussi $_SERVER['HTTP_REFERER'] mais elle ne semble pas définit par la page qui charge la javascript.
 
t509 -> ça fait de l'affichage oui, mais je dois le parser différement parce que le php génère du javascript (du style document.write) car elle est faite pour être appelée dans un javascript src ="...".
 
Mais pour le site affilié, si il l'execute à la main, ça génère de l'affichage, donc des revenus pour lui...
donc trouver parade.

javascript c'est comme si tu tappais l'adresse en DUR dans la barre d'url...

pour preuve... tape ceci dans ta barre d'adresse
 
 
javascript:alert('coucou')

ah merde alors...
 
bloqué de chez bloqué    
 
mais j'ai une autre piste:
 
avec javascript on peut avoir ça:
 
<script langage = 'javascript'>mapage = document.href</Script>
 
ou un truc commme ça pour avoir l'url de la page courante...
 
alors dans mon script php
 
avant toute chose je teste:  
"si document.href contient showad.php" alors "gueule"
 
le problème: js coté client, php coté serveur...    
 
 

 
 
mais même, là ça va tout bloquer: les pages contenant le script ne pourront pas s'afficher non plus...  

j'ai une autre pite: comment récupérer l'url en cours en php ?

avec les données du tableau super-global $_SERVER

non plus, $_SERVER['server_name'] entre autre récupère le nom de domaine du serveur QUI EXECUTE LE SCRIPT,
 
autrement dit peut importe que tu le lances à la main ou que tu le mettes dans un javascript, l'environnement de retour est celui qui héberge le php
 
j'ai trouvé une pseudo solution:
 

 
en gros, je génère en JS le numéro client dans une variable et le site en cours dans une autre.
puis toujours en JS, je génère l'url d'appel au php qui est donc dynamique, avec des ?clid=xxx&from=yyy
 
je peux traiter ces variables coté php avec $_GET et faire mon traitement.
 
suite > le php génère du JS à partir des paramètres JS en entrée.
 
voilà comment faire du JS>PHP>JS    
 
next step:
comment parser http://www.domaineduclient.com/repertoire/index.html > pour n'avoir que http://www.domaineduclient.com  

Sauf qu'il suffit de relire ton script JS et re composer les variables pour les écrires à la main.

c'est vrai, mais il n'y a pas de véritable solution.
faut embrouiller à max le malin qui va le relire, mettre des variables partout dans tous les sens, des chaines avec des md5 par exemple, des randoms, des timestamps...
 
sinon je ne vois pas.
 

Ce que fais le javascript, étant donné que c'est côté client, c'est reproductible

il y a bien un moyen ! bordel    
 
j'essaie un truc:
je génère coté client des random() dans une variable,
puis les variables nécessaire,
je fais des md5,
lors de l'appel au php, je passe tout ça en parametre
coté serveur je teste:
> si dans l'url d'appel (document.location.href) je retrouve mon script php, je gueule.
> pour les md5, je tape dans une base de donnée la cohérence (un peu comme les password)
idem pour les random, je génère coté serveur, si le décalage est trop important, je gueule aussi
 

1 JS qui récupère un code généré sur ton serveur.
 
1 autre récupère ta bannière avec l'id client modifié et le code récupéré.
 
La génération de code peut par exemple avoir recours aux timestamp() multiplié par un nombre de ton choix auquel tu ajoutes un autre nombre et tu modifies le résultat en changeant de base de calcul. (alphanumérique ou alphabétique par exemple)
 
Normalement, le process total prend moins de 10 secondes. Si le timestamp récupéré est inférieur de plus de 15 secondes au timestamp en cours, tu ne comptabilise pas l'affichage mais tu affiches la bannière (c'est mieux pour toi et ton annonceur)

déjà pensé: il suffit d'une petite congestion du réseau pour tout rater :_/

Tu tournes en rond là

 j'ai trouvé la solution, tests ok:
 
la page html est composée de 3 scripts <JS>
- la première crée des variables statiques (numéro affilié par exemple)
- la 2e appelle un script php en passant la 1ere variable en parametre
> ce 1er php va générer des variables JS à valeur codée  
> le dernier script JS récupère les précédente variables JS générées par le php au dessus et appelle le générateur de bannière en passant toujours les variables en paramètres.
 
 
quel est l'intérêt de passer par du php pour générer des variables et ne pas les mettre directement dans le 1er script JS ?    
 
> pour qu'à la lecture, il soit impossible de prédire le contenu des variables générées puisqu'elles ne sont pas en ecrites en "dur" dans le JS mais générées à la volée.  

Je pense que ça ne marche pas au niveau de la sécurité car qu'est-ce qui empeche quelqu'un de faire manuellement ce que fait le navigateur avec ses 3 requêtes ?

Pour jouer le diable, que se passe t il si javascript est désactivé ?
 
Autre solution :
1- tu crées un script PHP hébergé chez toi qui délivre une clé de codage "aléatoire"
2- tu crées un autre script php qui est hébergé chez ton client qui récupère la clé de codage et crypte le numéro de client à la "volée". Ce même script récupère les données de la bannière à afficher et génère le HTML correspondant pour le client.
3- un script php qui gère la requête d'affichage des bannières (pour que l'affichage soit obligatoire) avec de l'url rewriting (par exemple le lien html généré est de la forme -http://ton-serveur.com/cle_validation/id_client/id_pub/image.jpg
qui renvoie vers /dossier/script_affichage.php?cle=cle_validation&id_c=id_client&id_p=id_pub)
ce script envoi directement le contenu de l'image que tu souhaite.
 
Avantage : tu possède une clé de cryptage confidentielle
Les connexion sont gérées à partir du serveur de ton client donc tu peux vérifier $_SERVER['HTTP_REFERER']. S'il n'est pas OK, tu refuses l'incrémentation du compteur client.
 
Tu peux vérifier la cohérence des données des compteurs client à partir des stats de fréquentation de leur site
 
c'est indépendant de l'utilisation du javascript ou non.
 
Tu protège doublement ton système.
 
Pour les 2 premiers scripts, il faut regarder la fonction fsockopen()

la seule façon de le faire c'est de mettre les 3 scripts à la suite.
si tu lances uniquement un des scripts, ça ne marche pas.
idem si tu appelle directement le fichier php puisqu'elle ne reçoit pas les paramètres qui lui sont envoyés par le script précédent.
 
et comme c'est du php qui génère des variables
> tu ne connais pas les valeurs donc tu ne peux pas l'executer en direct
 

ma question serait plutot: peut'on lancer ça directement dans l'url ?
 

 
avec showad.js:

 
la variable s'appelle bien showad, mais tu ne connais pas la valeur qui est générée par le fichier salt.php
et même si tu la connaissais, tu ne peux pas prédire ce que le prochain affichage va générer comme valeur, elle n'est pas fixe.

 
Les scripts JS sont downloadés sur la machine client. Il est donc possible d'aller chercher les sources et de tout mettre dans un seul fichier qui effectue tes 3 actions à la suite.
 
je ne suis pas sûr que cela fonctionne : <script type="text/javascript" src="ad.mondomaine.com/salt.php"></script>
 
la solution JS n'est pas fiable a mon sens.
 
Ma méthode précédente possède l'avantage de répartir les requêtes sur 2 machines différentes : le serveur de ton client et la machine du visiteur. C'est donc plus difficile de zapper la sécu

c'est ce que j'essaie de dire depuis le début mais personne m'écoute