PHP

Admin sécurisé ou pas ?

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Admin sécurisé ou pas ?

Orission

Salut,

Voila j'ai créer un petit truc d'admin mais je voudrai savoir si il est sécurisé ou pas :

Code :

<?php
session_start();
if($_GET['password_ok'] AND is_numeric($_GET['password_ok']) AND $_GET['password_ok'] == 1 AND md5($_POST['password_ok']) == '22674fbd11be5883b59ae7d8a95c2c16')
{
$_SESSION['password'] = md5($_POST['password_ok']);
header('Location: admin.php');
}
echo'<?xml version="1.0"?>'."\n";
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr">
<head>
<meta http-equiv="content-Type" content="text/html; charset=windows-1252" />
<meta http-equiv="content-Language" content="fr" />
<title>Tournois.Fr</title>
<link rel="stylesheet" href="style_1.css" type="text/css" />
<link rel="stylesheet" href="style_2.css" type="text/css" />
</head>
<?php
if(isset($_SESSION['password']) AND $_SESSION['password'] == '22674fbd11be5883b59ae7d8a95c2c16')
{
echo 'OK';
}
else
{
echo '<form action="admin.php?password_ok=1" method="post">
<input type="password" name="password_ok" />
<input type="submit">
</form>';
}
if($_GET['logout'])
{
session_destroy();
}
echo '<br /><br /><a href="admin.php?logout">Déconnection</a>';
?>
</div>
</body>
</html>

et la session_destroy(); ne se détruit pas

merci de votre aide !

---------------
“ Un avis d’un homme non avisé ne doit jamais être pris en compte par un homme avisé. ” Jean Plancher, 1810, Taverne « Chez Bonaparte »

Publicité

2xyo

2*yo = yoyo

Sais-tu qu'il éxiste des dico de md5 sur le net... J'éspère que ce n'est pas le md5 original car si tu utilises des mots de passe à 3 caractère tel que "qcr".... De plus "n'importe" qui peut passer via un brute force.

---------------
2 * yo = yoyo

Orission

ahah oui je le sais mais je m'en fou, c'est du test only sa

le password m'en fou y'a rien pour le moment moi c'est pour l'authentification tu vois

si elle est bien quoi

---------------
“ Un avis d’un homme non avisé ne doit jamais être pris en compte par un homme avisé. ” Jean Plancher, 1810, Taverne « Chez Bonaparte »

TheRom_S

heu, tu commences par

if($_GET['password_ok'] AND is_numeric($_GET['password_ok']) AND $_GET['password_ok'] == 1 AND md5($_POST['password_ok']) == '22674fbd11be5883b59ae7d8a95c2c16')

les 2 trucs en gras, ça me parait bizarre, je pense que même is_numeric est en trop, je veux dire "==1" c'est pas suffisant ?

après, en souligné ; je suis pas un pro du http mais ; c'est pas la même chose (à peu près) post et get donc c'est le md5(1) là ?

perso, je passerai par une ouverture de session identique pour tous, admin ou pas, qui te donne un md5 pour la session (inscrite en meme temps dans la bd) et ensuite, sur chaque page, tu files le md5 au lieu du login/mdp et tu vois à quoi l'utilisateur à droit ds la bd, cad acces admin ou pas

Message édité par TheRom_S le 09-11-2005 à 02:08:43

---------------
The Rom's, à votre service

art_dupond

je suis neuneu... oui oui !!

*chien de mickey*

===1

alors

Message édité par art_dupond le 09-11-2005 à 02:45:08

---------------
oui oui

FORUM HardWare.fr

Programmation

PHP

Admin sécurisé ou pas ?

Sujets relatifs
Interface sécurisé	Donner les droits admin pour executer un .vbs ?
Schema UML (class) pour creer un accès securisé ?	choix module paiement sécurisé ??
[Access] faire un password admin et user	Accès sécurisé: la meilleure solution?
Accès sécurisé > Besoin d'avis	paiement securise de fichiers a telecharger
Process.GetProcesses() sur W2K, compte non admin	admin easy php
Plus de sujets relatifs à : Admin sécurisé ou pas ?

Page générée en 0.045 secondes