Bonjour,

Je suis en train de développer mon site de e-commerce, et je me trouve face à un problème de taille. Je souhaite envoyer aux clients des codes uniques (ex : 101042AB), et que ces derniers se connectent au site, entrent leur code, et puissent retirer leur commande.

Il est très important que ce code ne puisse être deviné par un robot! Ma question est la suivante : comment s'assurer qu'un robot ou qu'une personne ne puisse deviner ce code (est-il possible d'ejecter une adresse IP après 10 mauvaises tentatives par exemple) ?

Merci d'avance!!!

(est-il possible d'ejecter une adresse IP après 10 mauvaises tentatives par exemple) ?

Oui.

Encode ton code d'accès en MD5 aussi pour l'envoi, c'est toujours plus sécurisé.

Comment faire alors pour éjecter une adresse IP trop insistante?

Salut,

Si tu as un système de sessions qui stocke déjà l'ip de l'utilisateur en cours, tu rajoutes juste le nombre de tentatives. Si tes sessions dans une bdd (par exemple) tu ajoutes un champ 'ip' (tu n'es pas obligé de passer par la bdd, c'est juste pour montrer l'idée).

A chaque login tu vérifies. Si tu ne stocke pas déjà l'ip bah... fait le.

Ensuite pour l'éjecter bah tu dois bien stocker les ips 'indésirables' quelques part ? tu vérifies si le visiteur en cours en fait partie. En gros c'est ce qui se fait pour les bannissements dans les forums.

Utilise une connexion sécurisée avec un certificat SSL.

Pour les identifiants uniques très difficiles à deviner, il y a la fonction uniqid()

Merci pour vos réponses!

Je ne suis pas certain que la connexion SSL soit utile, car chaque code ne sera utilisé qu'une seule fois. Donc si quelqu'un intercepte le code après son envoi, ce n'est pas bien grave car il ne sera déjà plus valable!
En gros, un ami vous offre un T-shirt, et vous propose de choisir votre taille directement sur le site. Il ne vous donne pas le T-shirt, mais une carte avec l'adresse du site et un code unique, correspondant à cette commande.
Vous vous connectez donc au site, tapez ce code, et tombez sur une page avec ce T-shirt et les différentes tailles dispo. Vous n'aurez plus qu'à choisir la votre, et vous le recevrez chez vous.

La peur que j'ai, c'est qu'il existe des programmes capables de faire dérouler une série de codes aléatoires, jursqu'à tomber sur un bon!
Je cherche donc une parade! la fonction uniqid() pour générer des clés uniques est intéressante, mais des clés de 13 caractères risquent d'être un peu lourdes à taper pour l'utilisateur...

Une solution? Je retiens pour l'instant celle du stockage d'adresse IP...

J'avais à peu prés la même fonction dans un programme.

ce que je fesait je générer un code au format XXXX-XXXX-XXXX-XXXXX

Pour simplifier la saisie à la lecture de la "carte" j'avais choisi de n'utiliser que des majuscule et des chiffres et en evitant les caractéres pouvant poser problème ( O 0 U V L I 1) de mémoire.

je généré donc un code aléatoire et vérifié qu'il n'existait pas déjà.

voila le code est assez simple malheuresement je ne l'ai plus. bon courage

Tu peux générer une image d'un code aléatoire que le client voit et saisit dans un champ en plus de son code unique. Cela compliquera l'affaire pour les robots puisqu'ils sont aveugles.

mais des clés de 13 caractères risquent d'être un peu lourdes à taper pour l'utilisateur...

A mon avis c'est un faux problème. Pour faire un achat (payant) sur internet je rentre bien mes 16 numéros de carte bancaire + 3 (la clé au dos). Donc si c'est pour retirer un cadeau (gratuit) je me dis que la même contrainte ne devrait poser aucun problème

comment veut tu te baser sur l'ip si c'est l'ami d'un client qui vient retirer sont produit ? le clients et son ami n'ont pas la même IP...

sinon dit nous en plus parce que c'est sources à embrouille ton truc...

1°) Quel sont les infos propre à l'ami du client dont tu dispose ? (rien que si email erroné donné par le client, un ami erroné possible put recevoir la commande...)

2°) L'IP oublie, c'est pas une solution dans ton cas. Dit nous plutôt comment ce connecte tes clients et comment procède tu avec les amis des client pour qu'il retire leur cadeau ?

Je dirai que dans ton cas, si l'ami du client est prévenu par email du cadeau, un lien avec md5 de la ref commande en paramètre à GET + mot de pass commande suffit simplement. Si envoi papier sur flyers du pass pour l'ami du client, alors la, il faut ecrire le pass sur le bon de commande...


Le mieux, utilise un superCRYPT tu cache une clé perso à toi et le numero de commande dans un cryptogramme de longueur de chaine convenable.

tu analyse coté server et le tour est joué

L'ip c'est complètement nul comme solution. De nombreux utilisateurs peuvent partager la même pour le cas de gros réseaux locaux, et elle peut changer toutes les cinq minutes pour des utilisateurs lambda…

L'ip c'est complètement nul comme solution. De nombreux utilisateurs peuvent partager la même pour le cas de gros réseaux locaux, et elle peut changer toutes les cinq minutes pour des utilisateurs lambda…

... la deuxième éventualité serait fatale pour un utilisateur qui a rentré un premier code erroné et dont l'IP change juste après...

Merci à nouveau pour vos réponses, et pour le suivi d'AB et sadeq.
En tout cas, effectivement, je peux opter pour un code à 13 caractères, mais comme ce code sera imprimé et remis sur un papier, attention comme dit phoeniix007 aux mélanges entre O 0 U V L I 1.
Par rapport à vos questions, je ne sais rien de l'ami du client! A part le code que son ami lui a transmis sur la carte.
La solution de crypter le numéro de commande et une clé perso est sympa! Ca évitera de sauvegarder une donnée en plus dans le base. Je pense donc qu'en demandant cette clé + à l'utilisateur de rentrer un code sur un captcha, je ne devrais pas avoir de problème!

Merci pour votre aide!