Nous avons besoin des pages suivantes :

• Page d'inscription avec formulaire d'inscription
• Page d'activation du compte
• Page de récupération de mot de passe
• Page de réinitialisation du mot de passe

Le formulaire de connexion au site sera placé sur toutes les pages du site (par exemple, dans l'en-tête).

Voici la page d'inscription que nous voulons obtenir :

Tapez ici compte déterminera dans quel groupe nous enregistrerons l'utilisateur. De plus, le champ d'identification (nom d'utilisateur) sera email.

Ajoutez un appel à l'extrait de registre sur la page :

[[!Registre? &submitVar=`register-btn` &activationResourceId=`27` &activationEmailTpl=`Email.Activation` &activationEmailSubject=`Vous êtes inscrit sur example.com` &placeholderPrefix=`reg.` &successMsg=`Merci pour votre inscription. Un e-mail avec un lien pour activer votre compte a été envoyé à votre adresse e-mail [[!+reg.email]]. Suivez ce lien pour finaliser votre inscription. ` &usernameField=`email` &usergroupsField=`reg_type` &customValidators=`valueIn` &validate=`username:blank, reg_type:valueIn=^Readers;Writers;Idlers ^, fullname:required:minLength=^6^, password:required:minLength =^6^, password_confirm:password_confirm=^password^, email:required:email` ]] [[!+error.message:default=`[[!$Register.Form]]`]]

Notez que toutes les balises liées à l'enregistrement doivent être appelées non mises en cache. Les mêmes règles s'appliquent lors du traitement des formulaires avec l'extrait FormIt.

Analysons les paramètres d'appel :

&submitVar=`register-btn` - Spécifie l'attribut de nom de la balise d'entrée. Autrement dit, l'extrait de code ne fonctionnera que si le formulaire est soumis avec un bouton avec un nom spécifique.

&activationResourceId=`42` - pour l'avenir, 42 est l'ID de la page sur laquelle nous allons activer l'utilisateur.

&activationEmailTpl=`Email.Activation` - morceau avec e-mail d'activation, plus à ce sujet plus tard.

&placeholderPrefix=`reg.` - indique que tous les espaces réservés, à de rares exceptions près (plus à ce sujet plus tard), qui sont créés dans cet extrait, doivent commencer par "reg.".

&successMsg est le message qui s'affichera lorsque le formulaire sera soumis avec succès. Notez qu'il peut contenir des valeurs du formulaire et d'autres balises. Ce message sera écrit dans l'espace réservé [[!+error.message]]. Un nom assez étrange, et dans la documentation de ce moment erreur. Il indique [[!+reg.error.message]], mais il découle du code du composant que ce n'est pas le cas.

&usernameField=`email` - indique que le champ e-mail sera utilisé comme nom d'utilisateur.

&usergroupsField=`reg_type` - définit un champ qui définit le groupe auquel le nouvel utilisateur sera ajouté.

&customValidators=`valueIn` - spécifie des validateurs supplémentaires à créer manuellement.

&validate - Les validateurs sont séparés par des virgules pour chaque champ, et si plusieurs validateurs sont requis pour le même champ, ils sont également séparés par deux-points. Analysons-les séparément :

username:blank est un piège à spam simple, ce qui signifie que le champ du nom d'utilisateur doit rester vide.

reg_type:valueIn=^Readers;Writers;Idlers^ - limite les groupes possibles aux trois spécifiés. Il n'y a rien de tel dans la distribution d'origine, et les pirates malveillants peuvent s'enregistrer, par exemple, sous le groupe Administrateur (si vous ne l'avez pas renommé).

fullname:required:minLength=^6^ - le champ fullname doit être non vide et contenir au moins 6 caractères.

password:required:minLength=^6^ - idem pour le mot de passe.

password_confirm:password_confirm=^password^ - les mots de passe doivent correspondre.

email:required:email - l'email doit être non vide et être l'email réel.

La construction [[!+error.message:default=`[[!$Register.Form]]`]] affiche un message sur la soumission réussie du formulaire ou d'une partie du formulaire si vous venez d'entrer dans la page ou de la remplir incorrectement.

Créons le validateur valueIn ci-dessus. Pour ce faire, créez un extrait appelé valueIn et le code suivant :

$valueIn = éclater(";", $param); return in_array($value, $valueIn);

Maintenant, vous devez créer un morceau Register.Form. Dans ce cas, ce sera le suivant (en utilisant Bootstrap 3):

Sélectionnez le type de compte Chukcha-Reader Paysatel Idler Présentez-vous : [[!+reg.error.fullname:notempty=`[[!+reg.error.fullname]]`]] Courriel : [[!+reg.error.email : notempty=`[[!+reg.error.email]]`]] Mot de passe : [[!+reg.error.password:notempty=`[[!+reg.error.password]]`]] Répéter le mot de passe : [ [!+reg.error.password_confirm:notempty=`[[!+reg.error.password_confirm]]`]]

Tous les champs sont requis

Dans ce formulaire, je noterai quelques éléments sur MODX :

e-mail; echo "Message : " . $données->message ; // envoie un email $to = $data->email; $subject = "Tester le site de messagerie pour tester le formulaire de contact angularjs" ; $message = $données->message ; $headers = "De : " . $données->nom .. "\r\n" .. "\r\n" . "XMailer : PHP/" . phpversion(); // Fonction mail PHP à envoyer E-mailà une adresse email mail($to, $subject, $message, $headers); ?>

Il est important de prendre la sécurité au sérieux lors de la création d'applications Web, en particulier lorsqu'il s'agit d'obtenir des données des utilisateurs.

En règle générale de sécurité, ne faites confiance à personne, vous ne pouvez donc pas vous attendre à ce que les utilisateurs saisissent toujours les valeurs correctes dans les formulaires. Par exemple, au lieu de saisir la bonne adresse e-mail dans le champ, l'utilisateur peut saisir la mauvaise adresse, voire des données malveillantes.

Lorsqu'il s'agit de valider les données des utilisateurs, cela peut être fait à la fois côté client (dans un navigateur Web) et côté serveur.

Auparavant, la validation côté client ne pouvait être effectuée qu'à l'aide de JavaScript. Mais les choses ont changé (ou presque) car avec HTML5, la validation peut se faire dans le navigateur, sans avoir besoin d'écrire des scripts de validation JavaScript complexes.

Validation de formulaire avec HTML5

HTML5 fournit un mécanisme assez robuste basé sur les attributs de balise suivants : type , pattern et require . Avec ces nouveaux attributs, vous pouvez sous-traiter une partie de la validation des données au navigateur.

Examinons ces attributs pour voir comment ils peuvent aider à la validation des formulaires.

type d'attribut

Cet attribut indique quel champ de saisie afficher pour le traitement des données, par exemple, le champ déjà familier de type

Certains champs de saisie fournissent déjà manières standard validations, sans avoir à écrire code supplémentaire. Par exemple, il vérifie un champ pour s'assurer que la valeur saisie correspond au modèle d'une adresse e-mail valide. Si un caractère invalide est entré dans un champ, le formulaire ne peut pas être soumis tant que la valeur n'est pas corrigée.

Essayez de jouer avec les valeurs du champ e-mail dans la démo ci-dessous.

Il existe également d'autres types de champs standard, tels que , et pour valider respectivement les numéros, les URL et les numéros de téléphone.

Remarque : Le format du numéro de téléphone varie d'un pays à l'autre en raison de l'incohérence du nombre de chiffres dans les numéros de téléphone et des différences de format. En conséquence, la spécification ne définit pas d'algorithme pour vérifier les numéros de téléphone, donc au moment de la rédaction cette opportunité mal pris en charge par les navigateurs.

Heureusement pour nous, la validation du numéro de téléphone peut être effectuée à l'aide de l'attribut pattern, qui prend une expression régulière comme argument, que nous examinerons ensuite.

attribut de motif

L'attribut pattern est susceptible de faire sauter de joie de nombreux développeurs front-end. Cet attribut accepte une expression régulière (similaire au format de regular Expressions JavaScript), qui vérifiera l'exactitude des données saisies dans le champ.

Les expressions régulières sont un langage utilisé pour analyser et manipuler du texte. Ils sont souvent utilisés pour des opérations complexes de recherche et de remplacement et pour valider les données saisies.

Aujourd'hui, les expressions régulières sont incluses dans les langages de programmation les plus populaires, ainsi que dans de nombreux langages de script, éditeurs, applications, bases de données et utilitaires de ligne de commande.

Les expressions régulières (RegEX) sont un outil puissant, concis et flexible pour faire correspondre une chaîne de texte, telle que des caractères uniques, des mots ou des modèles de caractères.

En passant une expression régulière comme valeur de l'attribut pattern, vous pouvez spécifier quelles valeurs sont acceptables pour champ donné entrée, ainsi que d'informer l'utilisateur des erreurs.

Examinons quelques exemples d'utilisation d'expressions régulières pour valider la valeur des champs d'entrée.

Les numéros de téléphone

Comme mentionné précédemment, le type de champ tel n'est pas entièrement pris en charge par les navigateurs en raison d'incohérences dans les formats de numéros de téléphone dans différents pays.

Par exemple, dans certains pays, le format du numéro de téléphone est xxxx-xxx-xxxx , et le numéro de téléphone sera quelque chose comme ça : 0803-555-8205 .

L'expression régulière à laquelle ce modèle correspond est : ^\d(4)-\d(3)-\d(4)$ . En code, cela peut s'écrire comme ceci :

numéro de téléphone:

Valeurs alphanumériques L'attribut requis

Il s'agit d'un attribut booléen utilisé pour indiquer que la valeur de ce champ est requise pour soumettre le formulaire. Lors de l'ajout de cet attribut à un champ, le navigateur demandera à l'utilisateur de remplir le champ avant de soumettre le formulaire.

Cela nous évite d'avoir à implémenter la validation de champ avec JavaScript, ce qui peut faire gagner du temps aux développeurs.

Par exemple : ou (pour la compatibilité XHTML)

Toutes les démos que vous avez vues ci-dessus utilisent l'attribut required, vous pouvez donc l'essayer en essayant de soumettre le formulaire sans remplir les champs.

Conclusion

La prise en charge du navigateur pour la validation des formulaires est assez bonne, et pour les navigateurs plus anciens, vous pouvez utiliser des polyfills.

Il convient de noter qu'il est dangereux de s'appuyer uniquement sur la validation côté navigateur, car ces validations peuvent être facilement contournées par des attaquants ou des bots.

Tous les navigateurs ne prennent pas en charge HTML5 et toutes les données envoyées à votre script ne proviendront pas de votre formulaire. Cela signifie qu'avant d'accepter définitivement les données de l'utilisateur, il est nécessaire de vérifier leur exactitude côté serveur.

Pourquoi ai-je installé ce formulaire

Une attaque par force brute est actuellement en cours sur votre site. L'attaque par force brute est une attaque par devinette de mot de passe. Dans ce cas, le mot de passe est sélectionné pour le panneau d'administration de votre site.

Pour éviter que votre site ne soit piraté et pour augmenter sa sécurité, nous avons installé une protection supplémentaire.

Comment puis-je accéder au panneau d'administration du site maintenant ?

Désormais, lors de l'accès au panneau d'administration de votre site (sur Joomla ou WordPress), une fenêtre supplémentaire de saisie du login et du mot de passe apparaîtra avec l'inscription "veuillez utiliser le mot de passe de votre panneau de contrôle". En tant que login, vous devez entrer le login de votre service d'hébergement, il ressemble à "u1234567". Comme mot de passe, le mot de passe actuel de votre service d'hébergement.

Après avoir passé l'authentification HTTP de base, vous verrez un champ d'autorisation standard dans le panneau d'administration de votre site. Vous devrez maintenant entrer le nom d'utilisateur et le mot de passe de l'administrateur du site.

Fonctionnement de l'authentification de base HTTP

Lors de la saisie d'un identifiant-mot de passe dans la fenêtre d'authentification de base, la valeur du hachage de l'identifiant et du mot de passe sera comparée aux valeurs dans fichier spécial~/etc/users , disponible dans le panneau de contrôle de l'hébergement. Le contenu du fichier ressemble à ceci : "u1234567:dm48bspxIO3rg" . Où "u1234567" est le nom d'utilisateur et "dm48bspxIO3rg" est le hachage du mot de passe (remarque : uniquement le hachage, pas le mot de passe lui-même !). Le hachage du mot de passe est le résultat de la conversion du mot de passe selon un algorithme spécifique.

Ainsi, lorsque vous entrez un nom d'utilisateur et un mot de passe dans la fenêtre d'authentification de base, un hachage est extrait du mot de passe saisi et comparé à la valeur de hachage dans le fichier ~/etc/users. Si les valeurs correspondent, vous êtes authentifié.

Je ne peux pas passer l'authentification de base

Vous entrez probablement le mauvais mot de passe. Installer nouveau mot de passe pour l'authentification de base :

Si vous avez réussi l'authentification de base mais que vous ne pouvez pas vous connecter directement au panneau d'administration du site Joomla ou WordPress, veuillez utiliser l'aide :

Comment augmenter la protection du site contre les attaques par force brute ?

Pour améliorer la sécurité du site :

• changez la connexion du superutilisateur en quelque chose de plus unique. N'utilisez pas de noms courts, il est préférable d'utiliser le prénom avec le nom de famille. Il existe de nombreuses ressources sur Internet où les connexions les plus populaires sont collectées. Familiarisez-vous avec eux et ne les utilisez jamais ;
• définir un mot de passe d'administrateur de site complexe. Un mot de passe complexe doit contenir des lettres majuscules et minuscules, des chiffres et des caractères supplémentaires tels que "* - _ # :", etc. La longueur du mot de passe doit être d'au moins 6 caractères. De préférence 10 ou plus.

Comment supprimer le formulaire d'authentification de base HTTP ?

Pour supprimer le formulaire d'authentification de base HTTP :

AuthType Basic AuthName "veuillez utiliser le mot de passe de votre panneau de contrôle" AuthUserFile .../users Require valid-user

Pour commenter une ligne, mettez un signe dièse ("#") au début de la ligne, comme ceci.