PHPfrance

la communauté d'entraide francophone dédiée au PHP

Sécurité Login

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : Sécurité Login

par iclo » 17 mai 2006, 14:20

Concernant les injections dans les requetes SQL, à prioris, chez un hebergeur connu, c'est déjà sécurisé ?!
non ça dépend de ton code.
Un petit tutorial (Google t'en dira plus )
http://thierrylhomme.developpez.com/php ... /#sessions

par BigL » 17 mai 2006, 13:41

Merci à vous 2 pour ces réponses,

Dans mon fichier config.php, ça donne :

<?php
$admin_login = '****';
$admin_pass = '****';
?>

à partir d'un serveur distant, si quelqu'un effectue :

<?php
include 'monsite.com/config.php';
echo $admin_login;
?>

En théorie, ça ne devrait pas marcher ?!

Concernant les injections dans les requetes SQL, à prioris, chez un hebergeur connu, c'est déjà sécurisé ?!

par Ripat » 16 mai 2006, 21:36

Si ton mot de passe admin est bien choisi, tu peux dormir sur tes deux oreilles.

Les fichiers de sessions sont crées, sur le serveur, par les scripts php.

A la réflexion, si tu veux te protéger d'une attaque d'un bot qui essayerait la force brute en simulant l'envoi d'un formulaire de login, tu peux temporiser le login (sleep()) ou bannir l'IP après x tentatives de login.

Evidemment, si tu as un accès ssh avec comme mot de passe root, ton serveur est mort. Et, toi, si tu mets un mdp root comme ça, il vaut mieux que tu te mettes au tricot ou à l'élevage de chèvres dans les Causses. :wink:

Il reste, bien sûr, à éviter les failles connues et bien documentées d'injections SQL et autres exploits PHP.

par DarkBlue » 16 mai 2006, 21:33

HEllo ,

Ton code parait sympa disons que le vrai probleme c est que comme ça n'importe qui a acces a ton fichier config.php !

Tu devrais le mettre dans un dossier 'Admin' par exemple et proteger ce dossier par htaccess !

Sinon je pense que c est sécurisé !

Sécurité Login

par LamontColeman » 16 mai 2006, 20:59

Bonjour,


Je viens à me demander si ma façon de programmer ma partie membre est t-elle sécurisée, voilà comment je fais :
<?php
include 'config.php';

if( $_POST['login'] == $admin_login and $_POST['pass'] == $admin_pass ) {

session_start();
			
$_SESSION['connexion'] = 'ok';
			
header('Location: page1.php');

} else {

// on redirige vers le formulaire de connexion

}

?>
sachant que les variables $admin_login et $admin_pass sont inclues dans config.php

Au niveau des sessions est-ce sécurisé ?
Sachant que dans page1.php je fais un truc du genre :
<?php
$session_start();
if( $_SESSION['connexion'] == 'ok' ) {
// bien logué !
}
?>

j'en viens à me demander si quelqu'un de mal intentionner peut "simuler" une variable de session sur un site ?

Merci d'avance de vos réponses :)