frameheader() ouvre une section visuelle (frame) dans la page. Elle affiche le titre du plugin ou de la section et crée le conteneur HTML dans lequel le contenu sera rendu. Usage : frameheader('Mon titre', 'h3', false). Les niveaux de titre suivent la hiérarchie HTML : h1 pour le titre de page (une seule fois), h2 pour les sections principales, h3 et au-delà pour les frames et widgets. Un plugin appelé directement doit commencer par : if($obj=='mon_plugin.php') frameheader($dialplugindisplay); — cette condition évite le double affichage du header quand le plugin est inclus depuis un autre script.

framefooter() ferme la frame ouverte par frameheader(). Elle est indispensable avant d'ouvrir une nouvelle section avec frameheader(). Ne jamais appeler framefooter() sans un frameheader() qui suit, sauf en fin de page. Le pattern classique pour structurer une page en plusieurs blocs : frameheader('Section 1'); /* contenu */ framefooter(); frameheader('Section 2'); /* contenu */. Le moteur gère la fermeture finale automatiquement.

Utilisez la paire framefooter() / frameheader() pour enchaîner les sections. Chaque section crée un bloc visuel distinct avec son propre titre. Exemple : après avoir affiché un formulaire et reçu une erreur, fermez la frame courante avec framefooter(), ouvrez une nouvelle frame propre avec frameheader(''), incluez le formulaire à nouveau, puis faites return. Cela maintient l'utilisateur dans une page valide et encadrée sans redirection HTTP.

secure() vérifie si le niveau de l'utilisateur connecté est suffisant pour accéder à une ressource. Elle prend en paramètre une constante de niveau (BASE_LEVEL_ADMIN, PLUGIN_LEVEL_MODERATOR, etc.) et retourne true ou false. Le pattern standard : frameheader($dialplugindisplay); if(!secure(PLUGIN_LEVEL_MODERATOR)) { forbids(); return; }. La frame est ouverte AVANT la vérification — forbids() s'affiche dans la frame, sinon le layout est cassé. L'astuce secure(0) vérifie simplement si l'utilisateur est connecté.

Aucun pour la config et les librairies — le moteur XDP les charge automatiquement. Le seul include autorisé est celui de la locale : include(getlocale('nom_du_plugin'));. Les fichiers .conf.inc.php et .lib.inc.php sont détectés et chargés par le moteur. Faire un require ou include manuel pour la config ou les libs provoquera un warning et un chemin cassé. De même, ne jamais inclure un module (.mod.php) — ils sont appelés exclusivement via ?obj=nom.mod.

Chaque plugin a ses fichiers de traduction dans /locale/nom_du_plugin.XX.inc.php (XX = code langue ISO). Le chargement se fait via include(getlocale('nom_du_plugin'));, à appeler AVANT frameheader() pour éviter les erreurs de variable manquante. Les traductions utilisent un tableau $dialnomplugin[]. $dialplugindisplay contient le titre affiché du plugin, $dialplugincall le nom dans le centre de contrôle. getAvailableLanguages() retourne la liste des langues disponibles.

Utilisez la variable globale $headdata pour injecter dans le <head> : $headdata .= '<link rel="stylesheet" type="text/css" href="plugins/mon_plugin/css/mon_plugin.css">'; Pour le JavaScript, même principe : $headdata .= '<script src="plugins/mon_plugin/js/mon_plugin.js"></script>'; Pour exécuter du JS après le DOM, utilisez $footdata avec un heredoc. Les CSS doivent utiliser les variables définies dans core.css — ne jamais inventer de couleurs. Si une variable manque, proposez de l'ajouter à core.css.

Utilisez le Sanitizer : use Beamreactor\Sanitizer\Parser; puis Parser::sanitize($input, 'type'). Les types disponibles incluent : bool, date, email, name, html, xml, uuid, url, string, ip, float, int, path et d'autres. sanitize() nettoie et valide la donnée, retournant false si invalide. check() vérifie le format sans nettoyer. Toujours sanitizer AVANT toute opération SQL. Ne jamais inventer de datatype — proposez-en un si nécessaire.

Utilisez la classe SQL : use Beamreactor\Database\SQL;. Méthodes principales : SQL::query() pour plusieurs lignes, SQL::queryFirst() pour une seule ligne, SQL::queryValue() pour une valeur unique, SQL::insertRow() pour insérer, SQL::updateRow() pour mettre à jour, SQL::deleteRow() pour supprimer. Toujours utiliser des requêtes préparées avec des paramètres ?. La concaténation directe de variables dans le SQL est strictement interdite. Vérifiez que la BDD est disponible avec isset($cfg['dbtable']) et que votre table existe avec SQL::tableExists().

Les modules (.mod.php) sont les endpoints AJAX de BeamReactor. Ils répondent en JSON, XML, HTML ou texte. Ils sont placés dans /handlers/nom_plugin.mod.php et appelés via ?obj=nom_plugin.mod (sans le .php). Ne jamais appeler le chemin complet du fichier. Structure minimale : vérification frameheader, sécurité avec secure(), header Content-Type, traitement de l'action via Parser::sanitize(), réponse JSON avec ['success' => !!1] ou ['success' => !!0]. Côté JavaScript, l'appel se fait avec $.post(BEAM_BASE_URL + '?obj=nom_plugin.mod', {...}).

Tout dans BeamReactor passe par index.php. Le paramètre ?obj= détermine ce qui est chargé. Un plugin : ?obj=mon_plugin.php. Un module AJAX : ?obj=mon_plugin.mod. Un document : ?obj=ma_page.dta. Le moteur XDP résout le chemin, charge la config, les libs et la locale automatiquement, puis exécute le script dans un environnement sécurisé. Aucun script PHP ne peut être appelé directement — tout passe par le moteur.

BeamReactor dispose d'un système de toasts avec 6 niveaux : debug (0), info (1), success (2), warning (3), error (4), critical (5). Usage rapide : Toast::info('Titre', 'Message', 5000); ou Toast::add(Toast::LEVEL_WARNING, 'Titre', 'Message', BASE_LEVEL_USER, 0). Le paramètre minUserLevel permet de cibler les notifications par niveau d'accès. La durée est en millisecondes, 0 pour persistant.

Un plugin est un dossier autonome dans /plugins/nom_du_plugin/ contenant : nom_du_plugin.php (interface principale), /conf/ (configuration auto-chargée), /lib/ (bibliothèques auto-chargées), /locale/ (traductions par langue), /handlers/ (endpoints AJAX .mod.php), /css/, /js/, /images/, /sql/ (installation des tables), /tests/, /doc/ (documentation .md et aide .help.json), et /data/cache/ pour les données persistantes. L'installation consiste à déposer le dossier. La suppression consiste à le retirer.

BeamReactor remplace les alert/confirm/prompt natifs par des dialogues personnalisés définis dans javascript/dialogs.js.php. Quatre fonctions : alertWindow('Titre', 'message') pour une alerte, confirmWindow('Titre', 'question ?', {}, callback) pour une confirmation, promptWindow('Titre', 'Label :', {}, callback) pour une saisie, infoWindow('Titre', 'info') pour une information. Ne jamais utiliser alert(), confirm() ou prompt() natifs.

Dans le fichier locale du plugin, définissez un tableau $js_translations et appelez setJavascriptLocale($js_translations). Exemple : $js_translations = ['mon_plugin' => ['error_msg' => $dialmonplugin[5]], 'global' => ['error' => $dial[32]]]; setJavascriptLocale($js_translations);. Côté JavaScript, accédez aux traductions via PLUGIN_TRANSLATION.mon_plugin.error_msg. Les traductions sont injectées dans le head comme un objet JavaScript global.

Non. Les plugins ne peuvent jamais utiliser exit ou die. Le seul exit autorisé dans tout le code d'un plugin est if(!function_exists('frameheader')) die('forbidden'); en première ligne, qui vérifie le contexte BeamReactor. Pour interrompre l'exécution, utilisez return. Pour gérer une erreur, affichez le message dans la frame puis faites return. Si un plugin utilise exit ou die, le moteur ne peut pas savoir ce qui a échoué et le diagnostic devient impossible.

BeamReactor utilise une hiérarchie fixe : OVERMIND > ADMIN > MODERATOR > HIGHUSER > USER. Les constantes BASE_LEVEL_* sont définies dans cog.inc.php. Chaque plugin peut définir ses propres niveaux via NOM_PLUGIN_LEVEL_* dans sa configuration. $basedisplevel utilise toujours BASE_LEVEL_*, jamais PLUGIN_LEVEL_*. Les define() custom se font après $basedisplevel. Le système complète automatiquement les niveaux manquants via base_user_levels().

Les fichiers .lib.inc.php et .conf.inc.php sont chargés automatiquement par le moteur. Pour des classes supplémentaires, enregistrez un autoloader PSR-4 dans la configuration du plugin avec spl_autoload_register(). Le namespace suit la convention Beamreactor\NomPlugin\. Les fichiers de classe vont dans /lib/ et sont résolus par le chemin relatif au namespace. Cela permet à plusieurs plugins de cohabiter sans collision de noms.

Pour sécuriser votre compte, deux étapes sont nécessaires. Les utilisateurs enregistrés doivent se connecter à l'interface principale de BeamReactor. En cliquant sur le bouton "profil" en haut à gauche, vous accédez à votre profil. En bas se trouve un QRcode 2FA à scanner avec une application comme Google Authenticator ou Microsoft Authenticator. Des codes spéciaux de récupération seront disponibles : recopiez-les précieusement pour récupérer votre compte en cas de perte ou de vol de votre téléphone.

Connectez-vous avec votre nom d'utilisateur et mot de passe sur le site BeamReactor. Le système vous demandera ensuite de rentrer un code que vous trouverez dans l'application Authenticator de votre téléphone.

Mettez à jour votre système d’exploitation et l’application Authenticator vers leurs dernières versions. Si vous n’arrivez pas à vous connecter mais avez accès à votre email, essayez de changer votre mot de passe. Sinon, contactez-nous via le formulaire de support.

Vous pouvez le réinitialiser à tout moment en cliquant sur le lien "compte inaccessible" sur la page de connexion.

Utilisez l'un de vos codes de secours fournis lors de l'enregistrement 2FA. Sur la page d'authentification, cliquez sur "code de secours", entrez-le, puis mettez à jour votre profil une fois connecté.

La procédure est identique à celle d'un téléphone perdu : utilisez vos codes de secours pour vous connecter, puis synchronisez votre nouvel appareil via votre profil utilisateur.

L'authentification à deux facteurs (2FA) ajoute une couche de protection indispensable en exigeant une preuve d'identité supplémentaire. Elle garantit que même en cas de vol de votre mot de passe, l'accès à vos données reste impossible pour un tiers. C'est le rempart le plus efficace contre les tentatives d'usurpation d'identité.