Page 1 sur 1
PassBoxe : Gestion d'informations de compte FTP, MySQL, etc.
Posté : 07 juin 2008, 13:37
par supercanard
Voici un petit script que j'ai fait tout dabord pour mes besoins personnels.
Je suis pas un as en php, loin de là même, mais ça fonctionne
PassBoxe permet de gérer les informations de comptes FTP et MySQL d'un site Internet, ou encore des espaces admin tel que les back-office.
Etant donné l'importance des données stockés, il ne faut pas l'utiliser sur un simple hébergement mutualisé sans SSL, mais je vous apprends rien... personnellement je l'utilise en local.
Voilà, en espérant que ça soit utile
Adresse :
http://thewinterdesign.com/passboxe/
Posté : 07 juin 2008, 23:40
par Hywan
Hey
,
J'aime beaucoup les données $_POST directement dans les requêtes, c'est hautement sécurisé. Peut-être protéger un peu ça
?
Posté : 08 juin 2008, 00:17
par supercanard
Hey
,
J'aime beaucoup les données $_POST directement dans les requêtes, c'est hautement sécurisé. Peut-être protéger un peu ça
?
Oui c'est vrai.
Mais bon , il faut relativiser aussi, le script est normalement pas utilisé par n'importe et a moins de vouloir se pirater sois même... Mais bon je suis daccord que ce n'est pas une raison. Je ferais en sorte de penser un peu plus à la sécurité pour les versions à venir.
Posté : 09 juin 2008, 23:14
par supercanard
Voilà j'ai fait une légère protection... un mysql_escape_string et un strip_tags avant insertion.
C'est léger mais suffisant je pense pour une utilisation restreinte à quelques personnes et non publique... ?
A la base j'ai fait cette petite appli pour mes besoins persos, mais comme j'ai décidé de la distribuer je réfléchis à comment l'améliorer. A moi elle me convient comme ça mais je pense qu'une petite fonction d'export des données serais logique dans ce genre de script. Je ne parle pas d'export type back-up mais plutôt partage des données.
Logiquement je penserais XML, mais un fichier XML n'est pratique que s'il est exploité par un logiciel, donc peut être du XLS qui finalement est à la portée de tout le monde...
il faut que je vois aussi si l'on devrait pouvoir exporter tel ou tel données en détail ou tout une catégorie d'un coup.
Posté : 10 juin 2008, 09:04
par Hywan
Oui tes protections semblent suffisantes … enfin, c'est un minimum.
Après, on peut toujours injecter -1, ou \r\n, des données du genre.
XML est un langage de structuration de données. Tout le monde peut l'exploiter comme il veut, je ne vois pas où est le problème.
Sinon, il y a aussi INI qui est pas mal, bien que limité, et YAML, très en vogue, mais j'adore.
Posté : 10 juin 2008, 19:48
par b.jerome
J'ai vaguement parcouru pour tester.
Une critique si je peux me permettre, je n'ai pas vu de doc d'installation (même si c'est pas bien compliquer à installer ca peu être utile à certains...) peut être que j'ai mal chercher ?
aussi j'ai juste essayer d'ajouter un "compte ftp" et j'ai eu le droit a une jolie erreur:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' 'test', 'bla', 'bla', 'test' )' at line 2
(même erreur avec compte sql) par contre admin fonctione.
Posté : 10 juin 2008, 20:02
par supercanard
J'ai vaguement parcouru pour tester.
Une critique si je peux me permettre, je n'ai pas vu de doc d'installation (même si c'est pas bien compliquer à installer ca peu être utile à certains...) peut être que j'ai mal chercher ?
aussi j'ai juste essayer d'ajouter un "compte ftp" et j'ai eu le droit a une jolie erreur:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' 'test', 'bla', 'bla', 'test' )' at line 2
(même erreur avec compte sql) par contre admin fonctione.
Effectivement y'a pas vraiment de doc, ou juste le minimum mais sur le site.
Pour l'erreur SQL c'est byzar... a moins que tu est essayer d'insérer quelquechose avant d'avoir ajouter un client ? Dans ce cas oui c'est logique en fait. Je résoudrais ça dans la prochaine mise à jour
Posté : 10 juin 2008, 20:15
par b.jerome
Effectivement y'a pas vraiment de doc, ou juste le minimum mais sur le site.
Pour l'erreur SQL c'est byzar... a moins que tu est essayer d'insérer quelquechose avant d'avoir ajouter un client ? Dans ce cas oui c'est logique en fait. Je résoudrais ça dans la prochaine mise à jour
Non j'avais bien ajouté un client avant je vais faire quelque test je te tiendrais au courant.
Posté : 10 juin 2008, 20:28
par supercanard
Effectivement y'a pas vraiment de doc, ou juste le minimum mais sur le site.
Pour l'erreur SQL c'est byzar... a moins que tu est essayer d'insérer quelquechose avant d'avoir ajouter un client ? Dans ce cas oui c'est logique en fait. Je résoudrais ça dans la prochaine mise à jour
Non j'avais bien ajouté un client avant je vais faire quelque test je te tiendrais au courant.
Merci bien.
Grâce à ton message j'ai découvert une petite bourde en plus.
Toujours pas de trace d'erreurs SQL par contre... mais je continu de chercher...
Posté : 10 juin 2008, 20:31
par b.jerome
Effectivement y'a pas vraiment de doc, ou juste le minimum mais sur le site.
Pour l'erreur SQL c'est byzar... a moins que tu est essayer d'insérer quelquechose avant d'avoir ajouter un client ? Dans ce cas oui c'est logique en fait. Je résoudrais ça dans la prochaine mise à jour
Non j'avais bien ajouté un client avant je vais faire quelque test je te tiendrais au courant.
Merci bien.
Grâce à ton message j'ai découvert une petite bourde en plus.
Toujours pas de trace d'erreurs SQL par contre... mais je continu de chercher...
ben j'ai regarder de mon coté et j'ai trouver ceci
Code : Tout sélectionner
if ( $_GET['action'] == 'nouveau' )
{
$req = "INSERT INTO comptes_ftp ( id_comptes_ftp, id_clients, serveur, identifiant, passe, infos )
VALUES ( '', $client, '$serveur', '$identifiant', '$passe', '$infos' )";
$res = mysql_query( $req ) or die( $req );
}
$client n'est pas défini et n'est pas non plus entre 2 slashs donc ca donner quelque chose du genre
('',,'serveur','identifiant','passe','infos');
et donc en remplacent par {$_post['client']} ca fonctionne...
c'est la requette pour l'ajout de ftp. Et c'est pareil pour sql...
Posté : 10 juin 2008, 21:40
par supercanard
Effectivement... et $_GET['type'] sort lui aussi de null part, je sais même pas comment ça peut marcher ^^
Je crois que je vais sortir une mise à jour plus rapidement que prévu
Merci beaucoup pour ton aide
Posté : 10 juin 2008, 23:10
par b.jerome
Effectivement... et $_GET['type'] sort lui aussi de null part, je sais même pas comment ça peut marcher ^^
Je crois que je vais sortir une mise à jour plus rapidement que prévu
Merci beaucoup pour ton aide
Ben justement ca marcher pas
en tout cas pas chez moi, on ne devais pas avoir la même version ou alors je ne sais pas...mystére
Enfin c'est pas bien grave...bon courage