Bonjour à tous,
Grand merci pour ces explications très détaillées qui permettent d'entrevoir la problématique des failles de mes programmes.
Je vais m'attacher à réécrire plus proprement mon code, conscient qu'il doit y avoir d'autres failles...hélas !
Je découvre dans vos exemples le "md5". Donc j'ai regardé dans la doc et j'ai vu qu'il n'est pas recommandé. Qu'en pensez-vous ?
Question 1: le php.ini est-il suffisant à la racine du site ou faut-il l'inclure dans toutes les sous directories ?
Question 2: Qd vous parlez d' "échapper" s'agit-il de ou des commandes comme "mysqli_real_escape_string " ?
merci de vos conseils
la communauté d'entraide francophone dédiée au PHP
[RESOLU] register_globals OFF
Q1 : c'est préférable de le faire au niveau serveur.
Je n'ai pas pas testé mais le php.ini par répertoire doit être suffisant si l'ancêtre en à un. Mais il faut tester avant toutes chose
Q2 : oui par exemple.
Pour le MD5 c'est plus ou moins un faut problème.
Le MD5 est un algorithme de hachage, cette opération est irréversible (contrairement à un encodage qui lui l'est).
Mais avec la puissance des machines actuelles il existe maintenant des bases de données contenant les mots et le md5 associé. On appel cela un dictionnaire.
Le but premier de ces hash c'est que personne, pas même le web master, puisse voir le mot de passe en claire dans la base ou sur le réseau.
suivant l'importance de ton site un md5 plus la technique du grain de sel peux amplement suffire (le grain de sel c'est simplement une chaîne que tu ajoute au début ou a la du mot de passe avant l'utilisation du md5. pour faire bien certain utilise des grain de sel aléatoire).
tu peux aussi regarder la fonction hash qui te proposera d'autre algo similaire (sha1, sha512 etc).
sache simplement qu'il faut faut faire la part des choses et qu'il y a de grandes chances pour que tu n'héberge pas des données secret defense donc pas la peine d'utiliser une technique trop sophistiqué où tu risque de te mélanger les pinceaux
@+
Je n'ai pas pas testé mais le php.ini par répertoire doit être suffisant si l'ancêtre en à un. Mais il faut tester avant toutes chose
Q2 : oui par exemple.
Pour le MD5 c'est plus ou moins un faut problème.
Le MD5 est un algorithme de hachage, cette opération est irréversible (contrairement à un encodage qui lui l'est).
Mais avec la puissance des machines actuelles il existe maintenant des bases de données contenant les mots et le md5 associé. On appel cela un dictionnaire.
Le but premier de ces hash c'est que personne, pas même le web master, puisse voir le mot de passe en claire dans la base ou sur le réseau.
suivant l'importance de ton site un md5 plus la technique du grain de sel peux amplement suffire (le grain de sel c'est simplement une chaîne que tu ajoute au début ou a la du mot de passe avant l'utilisation du md5. pour faire bien certain utilise des grain de sel aléatoire).
tu peux aussi regarder la fonction hash qui te proposera d'autre algo similaire (sha1, sha512 etc).
sache simplement qu'il faut faut faire la part des choses et qu'il y a de grandes chances pour que tu n'héberge pas des données secret defense donc pas la peine d'utiliser une technique trop sophistiqué où tu risque de te mélanger les pinceaux
@+
Il en faut peu pour être heureux ......
marih
Invité n'ayant pas de compte PHPfrance
OK vu !
Oui tu as raison mes bases n'ont aucun secret à préserver et je ne vais pas non plus me lancer dans des modifs qui risquent de me dépasser rapidement...
Je me permets une dernière question.
J'ai pas mal de programmes avec l'extension ".php3". C'est une bêtise de plus je pense, MAIS dois-je tout remettre en extension". php" ou bien (ce que j'espère, car sinon j'ai un sacré boulot de modifs à faire...) PHP passe outre ?
Encore merci pour tous les conseils que tu m'as prodigués.
marih
Oui tu as raison mes bases n'ont aucun secret à préserver et je ne vais pas non plus me lancer dans des modifs qui risquent de me dépasser rapidement...
Je me permets une dernière question.
J'ai pas mal de programmes avec l'extension ".php3". C'est une bêtise de plus je pense, MAIS dois-je tout remettre en extension". php" ou bien (ce que j'espère, car sinon j'ai un sacré boulot de modifs à faire...) PHP passe outre ?
Encore merci pour tous les conseils que tu m'as prodigués.
marih
pour l'extension cela dépend de la configuration du serveur.
généralement c'est .php, mais effectivement .php3 étant pas mal utilisé "à l'époque de php 3" c'est à dire il y a plusde 10 ans
en fonction de ce que propose ton hébergeur il faut te caler dessus.
@+
généralement c'est .php, mais effectivement .php3 étant pas mal utilisé "à l'époque de php 3" c'est à dire il y a plusde 10 ans
en fonction de ce que propose ton hébergeur il faut te caler dessus.
@+
Il en faut peu pour être heureux ......
de rien, bon courage
@+
Modération :
Puisque ta question est résolue, je l'indique en cliquant sur le bouton "Mettre le sujet en tant que Résolu" pour que les futures personnes qui voudront consulter ce sujet sachent qu'il contient une solution.
Tu peux réaliser cette opération toi-même en cliquant sur le bouton vert situé en haut de la page à côté du titre, si tu as posté le 1er message en tant que membre (inscrit et identifié).
Alors... inscris-toi !!!
@+
Modération :
Puisque ta question est résolue, je l'indique en cliquant sur le bouton "Mettre le sujet en tant que Résolu" pour que les futures personnes qui voudront consulter ce sujet sachent qu'il contient une solution.
Tu peux réaliser cette opération toi-même en cliquant sur le bouton vert situé en haut de la page à côté du titre, si tu as posté le 1er message en tant que membre (inscrit et identifié).
Alors... inscris-toi !!!
Il en faut peu pour être heureux ......