PHP

Mes sessions, question de sécurité...

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Mes sessions, question de sécurité...

gnarky

Sac à puces

Voila, je débute en php (ca vous cadre deja, non ?).
J'essaye de monter un site simple, et je commence par préparer l'architecture avant d'aller plus loin. J'entend par la une page d'administration d'ou l'on pourra poster des articles via formulaire... J'en suis a la mise en place de l'accès administration:

1- Stockage du login/pass d'administration dans une table sql
2- Récuperation du login/pass via formulaire
3- Comparaison avec ceux de la bdd, si ok...
4- Création d'une session, et redirection vers la page d'admin...

Bon je suis pas trop au point au niveau des sessions (et comment elles sont gérées par défaut sur free). Voici le début de mon code, bien sur l'est crado, mais j'arrete pas de retoucher de partout...

Veriflogin.php (=réception du formulaire et création de la session)

Code :

<?php
include("config.php" );
$Touvabien = false;
if ( isset($_POST) && (!empty($_POST['login'])) && (!empty($_POST['password'])) )
{
extract($_POST);
$sql = "SELECT pseudo, mdp FROM blog_admin WHERE pseudo = '".addslashes($login)."'";
$req = mysql_query($sql) or die('Erreur SQL');
if (mysql_num_rows($req) > 0)
{
$info = mysql_fetch_assoc($req);
if ($password == $info['mdp'])
{
$Touvabien = true;
}
}
}
// Mise en session après validation
if ($Touvabien) {
session_start();
$_SESSION['login'] = $login;
$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
echo '<p>Vous etes en mode admin !!';
echo '<a href="admin.php>Panneau d\'administration</a>';
}
else {
echo '<p>Vous avez oublié de remplir un champ.</p>';
include('index.php');
exit;
}
?>

admin.php (=page d'administration "sécurisée" )

Code :

<?php
session_start();
if(!isset($_SESSION['login']) && (!isset($_SESSION['ip']))) {
echo 'Vous n\'êtes pas autoriser à acceder à cette zone';
include('index.php');
exit;
}
else
{
echo "Welcome aboard!";
}
?>

Alors ? C'est sécurisé ? Bof ?

Publicité

KangOl

Profil : pointeur

non mais je me demande comment un fonction comme extract peux exister...
c'est encore plus dangereux que le register_globals a on [:mlc]

---------------
Nos estans firs di nosse pitite patreye...

gnarky

Sac à puces

ah...
c'est dangereux en cas d'intrusion de caractères/codes dangereux dans le formulaire j'imagine ?
Je devrais utiliser quelle méthode dans ce cas -_-

pmusa

▓▓▓▓▓▓▓

j'ai jamais compris pourquoi on faisait allusion aux register_global à ON à chaque fois qu'on parle de securité. qqn peut faire un court aparté dessus pour je capte le truc svp, je debute aussi?

KangOl

Profil : pointeur

non c'est dangereux car ca permet a quelqu'un de mal intentioné d'ecraser des variables... (ici, il pourrait ecraser la valeur de $Touvabien)

autant directement utiliser le tableau $_POST

---------------
Nos estans firs di nosse pitite patreye...

gnarky

Sac à puces

Pourrais tu developper tes deux idées ?
J'aimerais comprendre comment techniquement il est possible d'écraser (comme tu dis) la variable...

En fait je n'arriverait pas a voir quoi faire tant que je comprendrait pas comment il est possible d'outrepasser la sécurité (j'imagine qu'il y a plusieurs facons, si vous pouviez les décrire).

cerel

Comme l'a dit KangOf, il suffit d'envoyer un "Toutvabien=true" en post a ta page pour etre logue ...

exemple :

Code :

<form method="post" action="veriflogin.php">
<input type="hidden" name="Toutvabien" value="true" />
<input type="text" name="login" value="foo" />
<input type="text" name="password" value="bar" />
<input type="submit" name="Submit" value="ok" />
</form>

Et puis bon, stocker en clair les mots de passe dans la base, je trouve pas ca tres secure ...

Message édité par cerel le 25-04-2005 à 14:44:37

gnarky

Sac à puces

je vois
mais, d'une comment qqun pourrait il connaitre l'existance d'une variable touvabien ??!
Pour le mdp, j'me suis dis la meme chose, mais faut bien stocker le mdp qquepart non ?

cerel

gnarky a écrit :

je vois
mais, d'une comment qqun pourrait il connaitre l'existance d'une variable touvabien ??!
Pour le mdp, j'me suis dis la meme chose, mais faut bien stocker le mdp qquepart non ?

Ton mot de passe tu le stocke en crypte dans ta base.
Une fois que l'user veut se loguer, tu cryptes le password qu'il t'envoie. Si les deux versions cryptees sont les memes, alors les password initaux etaient les memes.

Voila, pas besoin de password en clair dans ta base.

gnarky

Sac à puces

le cryptage md5 est conseillé ? ou y a mieux ?

Publicité

gnarky

Sac à puces

Pour revenir à l'intrusion de la variable Toutvabien (true) en post... Je suis allé voir le manuel, pour la fonction extract(), j'ai reperé des options:

Citation :

EXTR_SKIP
Lors d'une collision, ne pas réécrire la variable existante.

Si je fais

Code :

extract($_POST, EXTR_SKIP);

La variable $Toutvabien déterminé juste avant l'extraction ne sera pas modifiée... J'ai juste ? C'est ptet en carton ca non ?

FlorentG

Laisse tomber, c'est absolument pas bien [:spamafote]

FORUM HardWare.fr

Programmation

PHP

Mes sessions, question de sécurité...

Sujets relatifs
Question de C++ et d'unix pour expert	mini question ! Est ce que ceci est correct?
Variables partagées entre sessions	[Perl] Question toute bête?
Petite question VBS	htaccess+image+php = danger sécurité?
[VBA] Question simple sur InStr et adresse e-mail...	petite question sur les THREAD
Question sur upload de fichier	Bonjour, juste une question !
Plus de sujets relatifs à : Mes sessions, question de sécurité...

Page générée en 0.034 secondes