Salut, hello...
 
J'ai fais un petit script PHP, pour proteger une page avec un mot de passe. j'ai fait trés simple, voila le code:
 
 

J'ai mis ca sur mon site, et j'ai fait un petit pari avec un ami: je lui es dit qu'il ne pourra jamais accéder a la page (...//càd qu'il ne pourra jamais trouvé le mot de pass) . Mais a chaque fois il trouve le mot de passe !!!!
je ne sais pas comment il fait, mais il ne veut pas me dire.  
alors que je poncé pouvoire protégé une page avec ce genre de script !
 
merci pour votre aide///

UP

Regardes tes logs, je suis quasi sur que tu trouveras des milliers de lignes avec différents mots de passe

ton pote est h3cK3r de l33t tu peux pas lutter il est trop fort.

Si le mot de passe que tu mets est pourri (comme "kangourou" ) forcément il va le trouver avec une liste de mots. Ce qu'il te faut, c'est d'une part choisir un mdp d'au moins 8 caracteres avec melange majuscules/minuscules/chiffres qui ne soit pas dans le dico, et d'autre part bannir une adresse IP apres un certain nombre de tentatives infructueuses...

bannir, c'est un peu violent. Moi, je dirais boquer l'accès au site pendant une durée (1 heure, par ex) + envoi d'un mail à l'admin pour le prévenir qui'il y a eu une tentative. Ca sera à lui de prendre la décision finale de la marche à suivre.

Et peut être éviter de stocker le mdp en clair. Un hash serait peut être préférable. Non?

un petit md5() par ex...

Ben déjà, t'as quoi d'autres comme service de lancé sur le serveur? (si ton copain a accés au dossier du site soit par ftp soit par partage windows, ta protection ne sert à rien)
De même t'as vérifié les autres pages dynamique du site? (il suffit parfois qu'une page inclus le texte de n'importe quel fichier sans l'interpréter pour que le code qu'elle contient devienne visible à tous)
 
Et oui, sécurisé un script c'est bien mais s'il y a une faille grosse comme un immeuble à côté, ca ne sert pour ainsi dire à rien.

il passe comme variable mot_de_passe un truc du genre :
" || $mot_de_passe == true || $mot_de_passe == "

non?

zbang > Il ne fait que des comparaisons de texte dans son code (aucune exécution du contenu d'une variable, aucune accés à une base de donnée et aucun affichage du contenu d'une variable)
Ca ne peut donc pas être ça.

meme avis que Leflos5
déjà je mettrai:
<input type="password" name="mot_de_passe" />
au cas où ton navigateur aurait gardé la liste des champs saisis

J'ai apris ça sur le siteduzero, mais j'ai pas copier a l'aveglette, j'ai compris ce que je fait, dailleur c'est trés simple.
 
En fait je croi que mon pote a utilisé un logiciel de brut force (je croi). l'idée de banir l'ip aprés plusieur tantative me parés bien, mais comme je débute je ne sais pas trop comment faire avec l'ip...
pouvez vous m'aidé svp
 
merci

Putain, fais un effort avec l'orthographe par pitie....

je crois que le navigateur est un peu plus malin que ca, genre il dois checker plus le type de input que le nom ...

l'idée de banir l'ip aprés plusieur tantative me parés bien, mais comme je débute je ne sais pas trop comment faire avec l'ip...  
pouvez vous m'aidé svp  

Ce qu'il faut voir, c'est qu'une IP peut correspondre à plusieurs machines qui n'ont rien à voir entre elles (derrière le même proxy sans que ça soit la même personne qui essaye), donc à toi de voir si ça colle avec le contexte de tes utilisateurs
 
Parce que punir l'un à cause de l'autre c'est pas top, mais je t'avoue qu'il y a pas d'autres moyens fiables d'identifier un client. Cependant faut aussi penser qu'en ip/adsl, suffit de se déconnecter et se reconnecter pour avoir une ip différente, donc...
 
Pour avoir l'IP du client suffit d'utiliser les variables de php, fais un phpinfo() et cherche la bonne Après tu stockes le nombre de tentatives dans une session et tu bloques si tentatives successives (nombre par laps de temps supérieur) à la valeur que t'auras défini. A toi de voir comment tu stockes (bd, fichier...)

$_SERVER['REMOTE_ADDR'] pour avoir l'ip de l'utilisateur qui a exécuté une requête.
Eventuellement, ça peut être couplé à dautres infos comme la version du navigateur utilisé pour voir si c'est le même utilisateur. Mais si l'utilisateur est sur son lieu de travail, derrière un proxy, y'a de fortes chances que tous les gens de sa boîte utilisent le même navigateur...

Oui, récupérer l'ip, la version navigateur et l'OS utilisé. Même si rufo a raison, ça peut parfois sauver un ou deux gars innocents.  
En prime tu peux placer un cookie qui indiquera le ban, le mec peut ne pas penser à vérifier, et le client qui sert à bruteforcer peut peut-être les accepter.
 
Mais avant de faire tout ça vérifie les logs du serveur pour voir s'il t'a effectivement bruteforcé, car comme le souligne omega2, ça pourrait être une faille du serveur ou d'un autre script.