PHP

Votre avis sur ce code de restriction d'accès

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Votre avis sur ce code de restriction d'accès

aspirateur

Bonjour,

J'aimerai avoir votre avis sur ce bout de code pour sécuriser l'accès à une section. Il fonctionne (je l'utilise) mais je me pose la question du niveau de sécurité.

Dans cet exemple les identifiants / mdp sont en clair dans la base SQL, un md5 suffit? Ou faut-il passer à plus costaud?

Donc, que pensez vous de ce code?

Merci

Code :

if (isset($_POST['login']) AND  isset($_POST['pass']) AND $_POST['login']!= NULL AND $_POST['pass']!= NULL){
     $_SESSION['login'] = $_POST['login'];
    $_SESSION['pass'] = $_POST['pass'];
 
}
    //on utilise enregistre les variables de la session dans d'autres variable
    $login = $_SESSION['login'];
    $pass= $_SESSION['pass'];
 
    $reponse = mysql_query("SELECT * FROM user WHERE login = '$login' " ); //requete qui va cherche l'utilisateur et le mot de passe
    while ($donnees = mysql_fetch_array($reponse) )// On fait une boucle pour lister tout ce que contient la table :
    {
        $_SESSION['login'] = $donnees['login'];
        $_SESSION['id_user'] = $donnees['id_user'];
        $_SESSION['pass'] = $donnees['pass'];
        $nom = $donnees['login'];
        $passw = $donnees['pass'];
    }
if ($pass == $passw AND $passw != NULL) {
    }
    Else
    {
    header("Location: ".$url."identification.php" ); // on l'envoi se connecter sur la page qui va bien
    $_SESSION['messageident'] = "Erreur d'identification, veuillez vérifier vos identifiants";
    }

Publicité

macgawel

Code :

/*
NE JAMAIS INJECTER DIRECTEMENT LES VARIABLES RECUPEREES PAR $_POST !!!
 
Au minimum, echapper les données reçues avec mysql_real_escape_string()
*/
if (isset($_POST['login']) AND  isset($_POST['pass']) AND $_POST['login']!= NULL AND $_POST['pass']!= NULL){
     $_SESSION['login'] = $_POST['login'];
    $_SESSION['pass'] = $_POST['pass'];
 
}
    //on utilise enregistre les variables de la session dans d'autres variable
/*
Mais si $_POST['login'] n'est pas défini (ou est nul) $_SESSION['login'] n'est pas défini
=> risque, au moins d'erreur...
Autant utiliser directement les variables de session
*/
    $login = $_SESSION['login'];
    $pass= $_SESSION['pass'];
/*
Eviter le SELECT *
Il vaut mieux preciser les colonnes qu'on va chercher.
*/
    $reponse = mysql_query("SELECT * FROM user WHERE login = '$login' " );
//requete qui va cherche l'utilisateur et le mot de passe
/*
Non, elle va juste chercher l'utilisateur
*/
    while ($donnees = mysql_fetch_array($reponse) )// On fait une boucle pour lister tout ce que contient la table :
    {
/*
Comme quoi ce n'était pas utile de commencer par mettre $_POST[login] dans la session !
*/
        $_SESSION['login'] = $donnees['login'];
        $_SESSION['id_user'] = $donnees['id_user'];
        $_SESSION['pass'] = $donnees['pass'];
        $nom = $donnees['login'];
        $passw = $donnees['pass'];
    }
/*
Pourquoi tu ne mets pas directement la condition sur le password dans la clause WHERE ?
Comme ça, si la requête ne renvoie rien, c'est qu'il y a un pb avec login ou pwd.
Et sinon, elle renvoie un unique enregistrement.
Là, il y a un risque si plusieurs users ont le même login - ce qui ne devrait pas arriver...
*/ 
if ($pass == $passw AND $passw != NULL) {
    }
    Else
    {
    header("Location: ".$url."identification.php" ); // on l'envoi se connecter sur la page qui va bien
    $_SESSION['messageident'] = "Erreur d'identification, veuillez vérifier vos identifiants";
    }

Pour ce qui est de la sécurisation du mot de passe, un md5 peut suffire (ça dépend aussi du type de site)...
Un petit "truc" pour sécuriser encore un peu le md5 : la méthode du grain de sel.
Il s'agit d'utiliser un "mot" que tu vas ajouter (d'une manière ou d'une autre) aux données à chiffrer.
Dans le cas d'un MD5, tu peux - par exemple - faire

Code :

$salt = "un mot quelconque assez long. On s en fout c est juste pour rendre le cassage du md5 plus complique.";
$pass_chiffre = md5($pass.$salt);

Tu stocke ça dans ta table.
Ensuite tu prends le mot de passe saisi par l'utlisateur, tu le "chiffre" de la même manière et tu compares avec ce qui est en base.

aspirateur

Merci pour cette réponse complète :jap:

Je vais suivre tes conseils pour améliorer le code.

Par contre la redirection par le "header" n'est pas risquée, on est d'accord?

Profil supprimé

tu la fais suivre d'exit :

Code :

header('location: adresse.php');
exit();

Autre chose : la boucle while est inutile, tu peux faire cette requête :

Code :

SELECT * FROM TABLE WHERE login = '$login' AND password = '$password'

FORUM HardWare.fr

Programmation

PHP

Votre avis sur ce code de restriction d'accès

Sujets relatifs
SqlServer et Access - Besoin de votre avis	extraire code sql d'une bdd sqlserver2000
Créer des accès sur un site	[Réglé]Test à l'accès d'un fichier (savoir s'il est déjà ouvert)
Comment modiifier ce code pour avoir une recherche multiple?	Un scanf() qui perturbe mon code
Comprendre code source : liens entre les fichiers	[C#, Résolu] UserControl, classes en propriété et code du concepteur.
votre avis m'interesse	Interdire Accès selon le Rôle
Plus de sujets relatifs à : Votre avis sur ce code de restriction d'accès

Page générée en 0.118 secondes