Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

Zone privée v1.0, petit script de zone protégé

https://forum.phpfrance.com/viewtopic.php?f=14&t=15926

Page 1 sur 1

Zone privée v1.0, petit script de zone protégé

Posté : 16 mars 2006, 10:44
par tomypunk
Voila je viens de faire un petit script permettant de mettre en place une zone privée sur un site ...

Voila c'est mon 1er script pour le grand publique :) mais j'espère que ça vous plaira !!!

Pour plus d'info :
http://tomypunk.free.fr/index.php?2006/ ... rivee-v-10

Quelques remarques

Posté : 17 mars 2006, 13:24
par nicolas
Juste quelques remarques:
- je ne trouve pas très pratique de devoir ouvrir un pdf pour lire la documentation. Fais-en une version texte.
- essaie d'utiliser tout le temps les balises php <?php et ?>. Tu as tendance par endroit à utiliser les balises courtes.
- c'est une mauvaise idée et ça ne sert à rien de stocker un mot de passe en session. Il est nettement préférable de n'y stocker que des données non sensible. Pour se passer du mot de passe il suffit d'ajouter une info comme quoi la personne est bien authentifiée.

Re: Quelques remarques

Posté : 17 mars 2006, 19:45
par tomypunk
Juste quelques remarques:
- je ne trouve pas très pratique de devoir ouvrir un pdf pour lire la documentation. Fais-en une version texte.
- essaie d'utiliser tout le temps les balises php <?php et ?>. Tu as tendance par endroit à utiliser les balises courtes.
- c'est une mauvaise idée et ça ne sert à rien de stocker un mot de passe en session. Il est nettement préférable de n'y stocker que des données non sensible. Pour se passer du mot de passe il suffit d'ajouter une info comme quoi la personne est bien authentifiée.
ok merci de tes remarques c'est vrai que pour les balises <?php j'ai pas fait gaffe ...
sinon c'est vrai pour la doc je vais en faire une en txt ...
pour les mdp et les sessions je sais pas trop si c risquer surtout que le mdp est crypté en md5

Re: Quelques remarques

Posté : 17 mars 2006, 21:28
par Spols
pour les mdp et les sessions je sais pas trop si c risquer surtout que le mdp est crypté en md5
c'est surtout par principe que le mot de passe n'est pas garder en session, aprés vérification, le mot de passe n'est alors plus du tout nécéssaire

mais il est vrai que meme si on récupérait un mot de passe hacher en md5 dans les variables de session, il serait trés difficile de le craquer

Re: Quelques remarques

Posté : 18 mars 2006, 00:14
par nicolas
mais il est vrai que meme si on récupérait un mot de passe hacher en md5 dans les variables de session, il serait trés difficile de le craquer
Tu veux parier ? Tu peux me donner ton login et ton mot de passe haché en md5 pour accéder à ton compte en banque ? Demain ton compte sera vide!

Re: Quelques remarques

Posté : 18 mars 2006, 09:37
par tomypunk
mais il est vrai que meme si on récupérait un mot de passe hacher en md5 dans les variables de session, il serait trés difficile de le craquer
Tu veux parier ? Tu peux me donner ton login et ton mot de passe haché en md5 pour accéder à ton compte en banque ? Demain ton compte sera vide!
ok ok je vois le souci mais tu vois déjà je vois pas trop comment tu peux récupérer les variables de sessions si ce n'est pas ton site ?
'est surtout par principe que le mot de passe n'est pas garder en session, aprés vérification, le mot de passe n'est alors plus du tout nécéssaire
mais le fait de garder le mdp en session me permet de vérifier a chaque début de page si la personne est tjsj dans la BDD, parce que imagine que l'on supprime le compte pendant que la personne est identifié, cela veut dire qu'elle a toujours accès au page protégé alors quel n'est plus autorisé a y accéder ...

Re: Quelques remarques

Posté : 19 mars 2006, 01:29
par fab
mais il est vrai que meme si on récupérait un mot de passe hacher en md5 dans les variables de session, il serait trés difficile de le craquer
Tu veux parier ? Tu peux me donner ton login et ton mot de passe haché en md5 pour accéder à ton compte en banque ? Demain ton compte sera vide!
le crackage d'une chaine md5 de plus de 6 caractères peut s'averer très long surtout si la chaine n'est pas alphanumérique. Pour sécuriser un peu plus le système je rajoute un cryptage maison à la chaine md5 comme ça si un hacker s'attaque au pass il aura plus vite fait de pirater le serveur :)

Re: Quelques remarques

Posté : 19 mars 2006, 01:47
par Spols
Tu veux parier ? Tu peux me donner ton login et ton mot de passe haché en md5 pour accéder à ton compte en banque ? Demain ton compte sera vide!
chiche, voici un login et mot de passe en md5 (inventé bien sur)

e7af1e806d7da7662eb6d2f0a87c28bd => 67aec95ae81ea9869c4f7dd7b8042aa

(login => mot de passe)

si il est si simple de décoder du hachage, ne vaut'il pas mieux toujours utiliser du cryptage, le type de cryptage étant plus diversifié sans compter que la clé est plus inconnu encore (mis à part le coté éthique qui dit qu'on ne peut connaitre le mot de passe des utilisateurs de notre site)

pour rester dans le sujet,

il est à ma connaissance (trés limité cependant) impossible de récupérer les données de session.

pour ton autre question, si tu lui supprime son compte il n'y aura plus non plus son pseudo dans la base. donc le mot de passe en SESSION est inutile mieux vaut le remplacer par un autre variable de SESSION de ta création.

Re: Quelques remarques

Posté : 19 mars 2006, 11:22
par tomypunk

pour ton autre question, si tu lui supprime son compte il n'y aura plus non plus son pseudo dans la base. donc le mot de passe en SESSION est inutile mieux vaut le remplacer par un autre variable de SESSION de ta création.
ouai j'y ai pensé juste après avoir poster !!!
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/