D6/Cleo
2
0
Fork 0
Code Issues 9 Pull Requests Actions Packages Projects Releases Activity

Initial commit - Application CLEO de gestion de devis

Browse Source 
- Architecture MVC avec framework maison d6
- Modules : devis, clients, marchés, SAP
- Documentation initiale (README et TODO)
- Configuration Composer avec dépendances

🤖 Generated with [Claude Code](https://claude.ai/code)

Co-Authored-By: Claude <noreply@anthropic.com>
This commit is contained in:
Pierre
2025-09-11 18:26:07 +02:00
commit 046c23f2d2
2378 changed files with 163904 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

194
docs/README.md Normal file
View File

@@ -0,0 +1,194 @@
# CLEO - Analyse de l'application de gestion de devis
## Vue d'ensemble
CLEO est une application web de gestion de devis développée en PHP 8.3 pour les PME. Elle utilise une architecture MVC classique avec un framework maison appelé "d6".
## Architecture technique
### Stack technologique
- **Langage** : PHP 8.3
- **Architecture** : MVC (Model-View-Controller)
- **Framework** : Framework maison "d6"
- **Base de données** : MySQL/MariaDB
- **Gestion des dépendances** : Composer
- **Bibliothèques principales** :
- PHPMailer 6.8 (envoi d'emails)
- PHPSpreadsheet 1.28 (export/import Excel)
- phpseclib 3.0 (fonctions de sécurité)
### Structure des dossiers
```
cleo/
├── config/ # Configuration de l'application
│ ├── conf.php # Configuration principale (DB, paths, etc.)
│ └── init.php # Initialisation et définition des constantes
├── controllers/ # Contrôleurs MVC
│ ├── cjx*.php # Contrôleurs AJAX
│ └── c*.php # Contrôleurs standards
├── models/ # Modèles de données
├── views/ # Vues et templates
│ └── layouts/ # Layouts réutilisables
├── pub/ # Ressources publiques
│ └── res/
│ └── d6/ # Framework d6
├── vendor/ # Dépendances Composer
└── index.php # Point d'entrée principal
```
## Fonctionnalités métier
### Modules principaux
1. **Gestion des devis** (`cdevis.php`, `mdevis.php`, `vdevis.php`)
- Création, modification, duplication de devis
- Workflow de validation multi-niveaux
- Historisation des modifications
- Calcul automatique des marges
- Gestion des remises par paliers de quantité
2. **Gestion des clients** (`cclients.php`)
- Base clients avec contacts
- Segmentation par secteur géographique
- Types de clients paramétrables
- Import/export de données
3. **Gestion des marchés** (`cmarches.php`)
- Catalogue de marchés
- Association aux devis
- Visibilité paramétrable par rôle
4. **Administration** (`cusers.php`, `csap.php`)
- Gestion des utilisateurs
- Système de rôles et permissions
- Interface d'administration
### Système de rôles
- **DIR-CO** (Direction commerciale) : Accès complet, vision globale
- **DV** (Directeur des ventes) : Gestion de son équipe de RR
- **RR** (Responsable régional) : Gestion de ses propres devis
- **Admin** (rôle 90) : Administration système
## Base de données
### Bases multiples
- **uof_frontal** : Base principale de l'application
- Possibilité de connexion à plusieurs bases selon le contexte
### Tables principales identifiées
- `devis` : Table principale des devis
- `devis_produits` : Lignes de produits des devis
- `devis_histo` : Historique des modifications
- `clients` : Base clients
- `produits` : Catalogue produits
- `produits_familles` : Familles de produits avec marges
- `marches` : Référentiel des marchés
- `users` : Utilisateurs et hiérarchie
- `x_*` : Tables de référence (statuts, types, etc.)
- `y_pages` : Configuration des pages/routes
## Points de sécurité
### Vulnérabilités critiques identifiées
#### 1. Stockage des mots de passe en clair
- **Localisation** : `config/conf.php:40-50`
- **Risque** : Exposition des credentials de base de données
- **Recommandation** : Utiliser des variables d'environnement (.env)
#### 2. Injections SQL potentielles
- **Localisation** : Multiple, ex: `controllers/cjxdevis.php`
- **Problème** : Concaténation directe de variables dans les requêtes SQL
- **Exemple** :
```php
$sql .= ' AND SUBSTR(cp,1,2) IN (' . $depts . ') ';
```
- **Recommandation** : Utiliser des requêtes préparées PDO
#### 3. Gestion des erreurs non sécurisée
- **Localisation** : `pub/res/d6/d6_tools.php:66-84`
- **Problème** : Pas de gestion d'erreurs robuste pour les connexions DB
- **Recommandation** : Implémenter un système de logging sécurisé
#### 4. Configuration sensible exposée
- **Localisation** : `config/conf.php:30`
- **Problème** : IP exclue hardcodée dans le code
- **Recommandation** : Externaliser dans un fichier de configuration
### Points positifs de sécurité
- Utilisation de `password_hash()` avec bcrypt pour les mots de passe utilisateurs
- Fonction `nettoie_input()` pour la sanitisation des entrées
- Gestion des sessions PHP native
- Contrôle d'accès basé sur les rôles
## Performances et optimisations
### Points d'attention
1. **Requêtes non optimisées** : Pas de pagination visible dans les listes
2. **Absence de cache** : Requêtes répétitives non mises en cache
3. **Chargement des données** : Chargement complet des listes sans limite
### Recommandations
- Implémenter une pagination côté serveur
- Ajouter un système de cache (Redis/Memcached)
- Optimiser les requêtes avec des index appropriés
- Utiliser le lazy loading pour les données volumineuses
## Qualité du code
### Points forts
- Structure MVC claire et cohérente
- Séparation des responsabilités respectée
- Nommage cohérent des fichiers et fonctions
- Utilisation de Composer pour les dépendances
### Axes d'amélioration
1. **Standards PHP modernes**
- Absence de namespaces
- Pas d'autoloading PSR-4
- Manque de typage strict PHP 8.3
2. **Documentation**
- Peu de commentaires PHPDoc
- Absence de documentation API
- Pas de README technique
3. **Tests**
- Aucun test unitaire visible
- Pas de tests d'intégration
- Absence de CI/CD
4. **Gestion des erreurs**
- Try/catch non systématiques
- Logging basique via `eLog()`
- Pas de monitoring applicatif
## Plan d'amélioration recommandé
### Court terme (Sécurité critique)
1. Migrer les credentials vers des variables d'environnement
2. Remplacer les requêtes SQL par des requêtes préparées
3. Implémenter une gestion d'erreurs sécurisée
4. Auditer et corriger les failles XSS potentielles
### Moyen terme (Qualité et maintenabilité)
1. Migrer vers une structure PSR-4 avec namespaces
2. Implémenter des tests unitaires (PHPUnit)
3. Ajouter une documentation PHPDoc complète
4. Mettre en place un système de logging structuré (Monolog)
### Long terme (Evolution et performance)
1. Considérer la migration vers un framework moderne (Symfony/Laravel)
2. Implémenter une API REST pour découpler front/back
3. Ajouter un système de cache performant
4. Mettre en place un pipeline CI/CD
## Conclusion
CLEO est une application fonctionnelle qui répond aux besoins métier de gestion de devis pour PME. Cependant, elle nécessite des améliorations importantes en termes de sécurité et de modernisation du code pour garantir sa pérennité et sa maintenabilité.
Les priorités absolues sont la sécurisation des accès base de données et la protection contre les injections SQL. Une fois ces points critiques adressés, l'application pourra évoluer progressivement vers des standards plus modernes.
---
*Document généré le 11 septembre 2025*
*Analyse basée sur l'examen du code source de l'application CLEO*