Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

conseil pr sécuriser ajout user/mdp

https://forum.phpfrance.com/viewtopic.php?f=8&t=258052

Page 1 sur 1

conseil pr sécuriser ajout user/mdp

Posté : 01 avr. 2011, 12:04
par pamalalarache
Alors maintenant que la phase authentification est sécurisé un petit peu, je voudrais sécuriser l'enregistrement d'un user, et son mot de passe.
Alors comme mon code est un peu complexe et long. Je vais vous montrer le code complet et apres simplement le bout de code qui insère dans la BDD le login/mdp

Version complète formulaire:

On choisit ici de modifier un user, la page pour en ajouter un est pratiquement la même.
En gros, on donne un login,un mdp, une autorisation ou non de voir certaines catégorie de pages . Il ya quelques fonctions pour afficher les catégories de manière jolie.

<?php
include("../../_modele/php/main.php");

# Sécurité...
($_ADMIN) or die("Accès interdit...");


//
// Variables...
//
request_var('id', 0, 'I');
//////////////////////////////////////////////////

# do...
include("do.php");	// Fichier de traitement des ajouts, suppr, modifs...

if (!$id) die("Erreur identifiant...");
$retour_magasin = "../droits/modif.php?id=".$id;

# Créer les tableaux pas défaut s'ils n'existent pas...
if (!isset($cases_magasins))	$cases_magasins = array();
if (!isset($cases_sites))	$cases_sites = array();
if (!isset($cases_phoning))	$cases_phoning = array();

// Requête
if (!$ERR) {	// On a exécuté do.php...
    sql_mysql_query("SELECT * FROM administration WHERE id = $id");
    if (!$nb) die("Erreur d'identifiant...");
    $row = mysql_fetch_assoc($query);
    extract ($row);	// extract en global...



    # Attributs...
    # Magasins...
    sql_mysql_query("SELECT id_magasin FROM administration_magasins WHERE id_administration = '$id'", 'conseillers_magasins');
    while ($row = mysql_fetch_object($query_conseillers_magasins)) {
		$cases_magasins[] = $row->id_magasin;
    }
    # Sites...
    sql_mysql_query("SELECT id_site FROM administration_sites WHERE id_administration = '$id'", 'conseillers_sites');
    while ($row = mysql_fetch_object($query_conseillers_sites)) {
		$cases_sites[] = $row->id_site;
    }
}


?>

<script type="text/javascript">
    function afficher_magasin(id) {
	var X = 640;
	var Y = 480;
	var Left = (screen.width  - X) / 2;
	var Top  = (screen.height - Y) / 2;
	the_URL = "magasin.php?id=" + id + "&modif_conseiller=1";
	var fen = window.open(the_URL,"tarif_fournisseur","toolbar=no,status=no,location=no,resizable=yes,scrollbars=yes,copyhistory=0,menubar=no,width=" + X + ",height=" + Y + ",left=" + Left + ",top=" + Top);
	fen.focus();
    }
	

    function tout_cocher() {
	$(".coche").each(function() {
	    this.checked = true;
	});
    }

    function tout_decocher() {
	$(".coche").each(function() {
	    this.checked = false;
	});
    }


function checkAllInput(form, action)
{
   var i = document.forms[form].getElementsByTagName("input");
    for ( var cpt = 0; cpt < i.length; cpt++)
                              i[cpt].checked = (action)? true : false ;
}


</script>
	
<form action="modif.php" method="post" name="form_modif" id="form_modif">
    <table border="0" cellspacing="2" cellpadding="2" class="tableau">
	<tr>
	    <th class="entete" colspan="4">Modifier un conseiller</th>
	</tr>
	<?php if ($ERR) { ?>
	<tr>
	    <th>&nbsp;</th>
	    <td colspan="3" class="erreur">ERREUR : <?php echo $ERR ?></td>
	</tr>
	    <?php } ?>
	<tr>
	    <th>&nbsp;</th>
	    <td colspan="3">
		<input name="bt_retour1" type="button" class="bouton" id="bt_retour1" value="< Retour" onclick="javascript:self.location.href='index.php?id_modif=<?php echo $id ?>#a<?php echo $id ?>';" />
		<input name="bt_valider1" type="submit" class="bouton" id="bt_valider1" value="Valider >">
	    </td>
	</tr>
	<tr>
	    <th colspan="4">Informations</th>
	</tr>
	<tr>
	    <th align="right" nowrap>ID</th>
	    <td colspan="3"><b><?php echo $id; ?></b></td>
	</tr>
	<tr>
	    <th align="right" nowrap>Nom</th>
	    <td colspan="3"><input name="nom" type="text" id="nom" value="<?php echoif("nom"); ?>" size="50"></td>
	</tr>
	<tr>
	    <th align="right" nowrap>Login</th>
	    <td colspan="3"><input name="login" type="text" id="login" value="<?php echoif("login"); ?>" size="50"></td>
	</tr>
	<tr>
	    <th align="right" nowrap> Nouveau Mot de passe</th>
	    <td colspan="3"><input name="password" type="password" id="password" value="<?php  ?>" size="50"></td>
	</tr>
	<tr>
	    <th align="right" nowrap>Filtrage IP</th>
	    <td colspan="3"><input name="filtre_ip" type="checkbox" id="filtre" <?php echocheckedbool('filtre_ip') ?> /></td>
	</tr>

        <tr>
	    <th align="right" nowrap>&nbsp;</th>
		<td valign="top">
			<table border="0" align="left" cellpadding="2" cellspacing="1" class="tableau">
				<tr>
				<th>&nbsp;</th>
				<th>Magasins</th>
				<th>&nbsp;</th>
				</tr>
				<?php while ($row = mysql_fetch_object($query_magasins)) { ?>
				<tr>
				<td><input name="cases_magasins[]" type="checkbox" class="checkbox" id="cases_magasins<?php echo $row->id; ?>" value="<?php echo $row->id; ?>" <?php if (in_array($row->id, $cases_magasins)) echo "checked"; ?> /></td>
				<td><label for="cases_magasins<?php echo $row->id; ?>"><?php echo $row->nom; ?></label></td>
				<td><a href="javascript:afficher_magasin(<?php echo $row->id ?>);" title="Afficher le magasin"><img style="vertical-align: middle" border="0" alt="Afficher le magasin" src="../../_modele/images/fleche_droite.gif" /></a></td>
				</tr>
				<?php } ?>
			</table>
	    </td>
	    <td valign="top">
			<table border="0" align="left" cellpadding="2" cellspacing="1" class="tableau">
				<tr>
				<th>&nbsp;</th>
				<th>Sites</th>
				</tr>
				<?php while ($row = mysql_fetch_object($query_sites)) { ?>
				<tr>
				<td><input name="cases_sites[]" type="checkbox" class="checkbox" id="cases_sites<?php echo $row->id; ?>" value="<?php echo $row->id; ?>" <?php if (in_array($row->id, $cases_sites)) echo "checked"; ?> /></td>
				<td><label for="cases_sites<?php echo $row->id; ?>"><?php echo $row->nom; ?></label></td>
				</tr>
				<?php } ?>
		</table>	
	    </td>
	</tr>
	
	  
	

	<table border="0" align="left" cellpadding="2" cellspacing="1" class="tableau">
<tr>
	<th align="center" nowrap>Catégories :</th>
			   <td><input class="bouton" type="button" onclick="tout_cocher()" value="Tout cocher" /> <input class="bouton" type="button" onclick="tout_decocher()" value="Tout décocher" /></td>

	<?php
	
	
	$query = mysql_query ( "SELECT id_eap
FROM `droits`
WHERE `id` = '$id'
			");
			
			

	
	while ($row = mysql_fetch_object($query)) {
	
	//echo $row->id_eap; echo '<br>';
	$droit[$row->id_eap] = $row->id_eap;
	
	}
	
	
				$sql ="SELECT nom,page,id_eap FROM menu_eap WHERE menu = 1"; // selectionne les menus
   sql_mysql_query($sql,"test");
 
 
  echo '<tr><td>';
echo '<ul id="menu_selection">';

while ($row1 = mysql_fetch_object($query_test)) {	
	
	
		echo '<li>';
		echo '<input type="checkbox" class="checkbox coche" name="menu[]" value="'.$row1->id_eap;echo '"'; if (in_array($row1->id_eap, $droit)) echo "checked"; echo '/>'.$row1->nom  ;
		
		
			$sql ="SELECT nom,page,id_eap FROM menu_eap WHERE sous_menu = 1 and id_cat_pere='$row1->id_eap'"; //selectionne les ss menus du menu pere
			sql_mysql_query($sql,"test2");
			while ($row2 = mysql_fetch_object($query_test2)) {
			echo '<ul>';
			echo '<li>';
			echo '<input type="checkbox" class="checkbox coche" name="menu[]" value='.$row2->id_eap.'/>'.$row2->nom; 
			echo '</li>';
		echo '</ul>' ;
		
}
		echo '</li>';
		
	}
 echo '</ul>';
 


		?>	
 
			</table>

			</table>
		
	
	<table border="0" align="center" cellpadding="2" cellspacing="1" class="tableau">
	<tr>
	    <th>&nbsp;</th>
	    <td colspan="3">
	
		<input name="bt_retour2" type="button" class="bouton" id="bt_retour2" value="< Retour" onclick="javascript:self.location.href='index.php?id_modif=<?php echo $id ?>#a<?php echo $id ?>';" />
		<input name="bt_valider2" type="submit" class="bouton" id="bt_valider2" value="Valider >">
		<input name="modif" type="hidden" id="modif" value="<?php echo $id; ?>" />
	 </td>
	</tr>
  </table>

	</form>
<?php modele_page ("../../_modele/html/modele_page.php"); ?>
Coté traitement du formulaire complet : 
<?php
//
// Fichier de traitement des ajouts,modifs,suppressions... à inclure dans index.php
//


//
// Requêtes Listes...
//
sql_mysql_query("SELECT * FROM sites ORDER BY nom", 'sites');
sql_mysql_query("SELECT * FROM magasins ORDER BY nom", 'magasins');
sql_mysql_query("SELECT * FROM phoning ORDER BY nom", 'phoning');
//////////////////////////////////////////////////


//
// Suppression...
//
if (isset($_GET['suppr'])) {
    $id = (int)$_GET['suppr'];
    mysql_query("DELETE FROM administration WHERE id = '$id'");
    mysql_query("DELETE FROM administration_magasins	WHERE id_administration = '$id'");
    mysql_query("DELETE FROM administration_sites	WHERE id_administration = '$id'");
    mysql_query("DELETE FROM conseillers_phoning	WHERE id_conseiller = '$id'");
	mysql_query("DELETE FROM droits	WHERE id = '$id'");
}
//////////////////////////////////////////////////


//
// Add - Modif...
//
if (isset($_POST['add']) || isset($_POST['modif'])) {
    $ADD	= isset($_POST['add'])	 ? true : false;
    $MODIF	= isset($_POST['modif']) ? true : false;
    
    # EXTRACT en global...
    foreach ($_POST as $key => $val) {
		if (!is_array($val)) $$key = $GLOBALS[$key] = trim($val);
		else $$key = $GLOBALS[$key] = $val;
    }
    
    # Case à cocher...
    $filtre_ip = checkbox("filtre_ip");
    
    # Fixer id pour le fichier suivant...
    if ($MODIF)	$id = $modif;
    
    # Gestion des champs obligatoires...
    if ($nom=="") {
		$ERR = "Il faut au moins un NOM !!!";
		return;
    }
	
	 if ($nom == "") {
		$ERR = "Il faut au moins un NOM !!!".$nom.$login.$password.$filtre_ip;
		return;
    }
    
	
       /**
     * on vérifie que le login n'est pas déjà utilisé
     */
    sql_mysql_query("SELECT id FROM administration WHERE login = '".$login."' AND id != $id");
    if ($nb) {
		$ERR = "Le LOGIN est déjà utilisé par un autre conseiller !!!";
		return;
    }
    
    /**
     * vérification de la longueur du mot de passe
     */
    if (strlen($password) < 6) {
		$ERR = "Le mot de passe doit faire au moins 6 caractères !!!";
		return;
    }
    
    # Variables contrôle requêtes...
    if ($ADD) {
		$INSERT_UPDATE	= "INSERT";
		$WHERE			= "";

	
    }
	
	
    if ($MODIF) {
		$INSERT_UPDATE	= "UPDATE";
		$WHERE			= "WHERE id = '$id'";
		
    }
    
	$password = mysql_escape_string(md5($password));
    $login = mysql_escape_string($login);
	
      $SQL = "$INSERT_UPDATE	administration
			SET	nom		= '$nom',
				login		= '$login',
				password	= '$password',
				filtre_ip	= '$filtre_ip'
	   $WHERE
	    ";
    mysql_query ($SQL);
	
if ($ADD) $id = mysql_insert_id();
	
			if (isset($menu) and ($ADD)) {
		foreach ($menu as $k=>$v) {
	$SQL = "INSERT 	droits
			SET	
				id		= '$id',
				id_eap	= '$v'					   
	    ";
    mysql_query ($SQL);
	}}
	
		if (isset($menu) and ($MODIF)) {
		 mysql_query("DELETE FROM droits	WHERE id = '$id'");
		foreach ($menu as $k=>$v) {
	$SQL = "INSERT 	droits
			SET	
				id		= '$id',
				id_eap	= '$v'
				
	   
	    ";
    mysql_query ($SQL);
	}}
    
    
    //////////////////////////////////////////////////
    
    //
    // Magasins et sites...
    //
    # Créer les tableaux pas défaut s'ils n'existent pas...
    if (!isset($cases_magasins))    $cases_magasins = array();
    if (!isset($cases_sites))	    $cases_sites = array();
    if (!isset($cases_phoning))	    $cases_phoning = array();
    
       # Supprimer TOUS les attributs avant de recréer la liste...
    mysql_query("DELETE FROM administration_magasins	WHERE id_administration = '$id'");
    mysql_query("DELETE FROM administration_sites	WHERE id_administration = '$id'");
    mysql_query("DELETE FROM administration_phoning	WHERE id_administration = '$id'");
    
    # Remplir les tables du magasins et du site...
    foreach ($cases_magasins as $k=>$v)	mysql_query("INSERT administration_magasins SET id_administration = '$id', id_magasin = '$v'");
    foreach ($cases_sites as $k=>$v)	mysql_query("INSERT administration_sites    SET id_administration = '$id', id_site = '$v'");

    
    /**
     * génération des fichiers .htpasswd et .htaccess
     */
    $query = mysql_query("SELECT login, password FROM conseillers");
    while ($row = mysql_fetch_object($query)) {
		if ($row->login && $row->password) {
			$tab_htpasswd[] = $row->login.':'.crypt($row->password);
			$tab_htaccess[] = "require user ".$row->login;
		}
    }
    # Magasins
    file_put_contents('../../../eap_conseillers/.htpasswd', implode("\r\n", $tab_htpasswd));
    
    $contenu_htaccess = "AuthUserFile ".$_SERVER["DOCUMENT_ROOT"]."/eap_conseillers/.htpasswd\r\n".
	    "AuthGroupFile /dev/null\r\n".
	    "AuthName \"Accès restreint\"\r\n".
	    "AuthType Basic\r\n\r\n";
    file_put_contents('../../../eap_conseillers/.htaccess', $contenu_htaccess.implode("\r\n", $tab_htaccess));
    
    # Sites
    file_put_contents('../../../eap_sites/.htpasswd', implode("\r\n", $tab_htpasswd));
    
    $contenu_htaccess = "AuthUserFile ".$_SERVER["DOCUMENT_ROOT"]."/eap_sites/.htpasswd\r\n".
	    "AuthGroupFile /dev/null\r\n".
	    "AuthName \"Accès restreint\"\r\n".
	    "AuthType Basic\r\n\r\n";
    file_put_contents('../../../eap_sites/.htaccess', $contenu_htaccess.implode("\r\n", $tab_htaccess));

    # Phoning
    file_put_contents('../../../eap_phoning/.htpasswd', implode("\r\n", $tab_htpasswd));

    $contenu_htaccess = "AuthUserFile ".$_SERVER["DOCUMENT_ROOT"]."/eap_phoning/.htpasswd\r\n".
	    "AuthGroupFile /dev/null\r\n".
	    "AuthName \"Accès restreint\"\r\n".
	    "AuthType Basic\r\n\r\n";
    file_put_contents('../../../eap_phoning/.htaccess', $contenu_htaccess.implode("\r\n", $tab_htaccess));
    
    # Redirect...
    $Navig->redirect("index.php?id_modif=$id#a$id");
}	// if POST add ou modif...
?>

En version simplifié, j'enregistre le login et le mot de passe comme cela : 
	$password = mysql_escape_string(md5($password));
    $login = mysql_escape_string($login);
	
      $SQL = "$INSERT_UPDATE	administration
			SET	nom		= '$nom',
				login		= '$login',
				password	= '$password',
				filtre_ip	= '$filtre_ip'
	   $WHERE
	    ";
    mysql_query ($SQL);

Voilà, c'est suffisamment sécurisé?

Re: conseil pr sécuriser ajout user/mdp

Posté : 01 avr. 2011, 12:07
par pamalalarache
ah oui pour le moment j'ai laissé le système d'écriture dans le ht access, il est voué a disparaitre puisque remplacé par mon système authentification.

Re: conseil pr sécuriser ajout user/mdp

Posté : 01 avr. 2011, 12:24
par xTG
Tu vas avoir un soucis avec ta requête.
Le SET n'est utilisé que pour une requête UPDATE et non pour une requête INSERT.

Re: conseil pr sécuriser ajout user/mdp

Posté : 01 avr. 2011, 12:27
par pamalalarache
ben ca fonctionne très bien pourtant sur le site.

Et à priori en faisant des recherches , ca passe
http://dev.mysql.com/doc/refman/5.0/fr/insert.html

Re: conseil pr sécuriser ajout user/mdp

Posté : 01 avr. 2011, 13:24
par sadeq
Oui MD5() doit être suffisant pour crypter tes mots de passe mais il faut élever le niveau de difficulté même si un Hash Md5() ne peut pas être réversible pour la simple raison qu'il ne crypte pas le message d'origine mais il fait crée un code de checksum qui sert à vérifier l'intégrité du message d'origine par rapport à un transfert du même message vers une autre destination. Donc le récepteur disposant du message transféré en crée un nouveau md5 qui comparé au md5 d'origine s'assure de l'intégrité du message. Pour décrypter le md5 il faut donc le code md5 et le message d'origine ce qui est absurde.

Je disais qu'il faut élever le niveau de difficulté car il existent des méthodes qui essayent tant bien que mal de contourner le Md5 en utilisant des dictionnaires ou des rainbow tables mais pour les contourner c'est simple : utiliser un mot de passe supérieur à 8 caractères et ajouter un mot clé personnalisé qu'on appelle "Le Sel" comme : 
$mot_de_passe = "1234567890abcdefg";
$motCrypté = md5($mot_de_passe . "#essayer de me trouver#"); // on a rajouté notre sel : #essayer de me trouver#
echo $motCrypté;

Dans ce cas même le propriétaire du mot de passe ne peut décrypter le code Md5 enregistré dans notre base de donnée car il ne sait pas qu'on a rajouté du sel.

Cela dit, le cryptage Md5 est une vielle école, initialement utilisé pour les transfert de fichiers et non pour la sécurité des mots de passe.
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/