# Audit API SmartPizza / APITECH - PIZZ'Express

Ce script liste automatiquement tous les chemins présents dans les fichiers OpenAPI fournis par APITECH / FLDTECH, puis teste les routes non dangereuses avec tes identifiants API.

## Installation

1. Dézippe le dossier sur ton serveur ou en local.
2. Copie `config/config.example.php` vers `config/config.php`.
3. Renseigne :
   - `api_login`
   - `api_password`
   - éventuellement `client_email` et `client_password` pour tester `/webapi/compte_connexion`.
4. Ouvre `public/index.php` dans le navigateur.
5. Clique sur `Lancer le scan sécurisé`.

## Sécurité

Par défaut, le script NE TESTE PAS les routes qui peuvent :

- créer une réservation ;
- valider une réservation ;
- annuler une commande ;
- initialiser ou modifier un paiement ;
- inscrire, modifier, supprimer un compte ;
- demander ou modifier un mot de passe.

Ces routes sont affichées dans le tableau mais marquées comme bloquées.

## Comment lire les résultats

- `200` : accès OK.
- `400` : route probablement accessible, mais paramètres incomplets ou invalides.
- `401 / 403` : accès refusé avec ton compte API.
- `404` : route ou ressource non trouvée. Sur `compte_connexion`, cela peut aussi signifier identifiants client refusés.
- `Non testé` : bloqué volontairement pour éviter une action dangereuse.

## Fichiers OpenAPI inclus

- `docs/openapi-machines.json`
- `docs/openapi-reservation.json`

Tu peux les remplacer par une version plus récente de la documentation si APITECH t'en fournit une nouvelle.