Faille de securité [Résolu]

Signaler
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008
-
Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
-
bonjours a tous mon code de connexion et plein de faille et n'est pas du tous securiser commment resoudre se problem sans tro changer le code merci a tous pour votre aide

<HTML>

<HEAD>

<TITLE>Connexion à 'battlecard'</TITLE>

<SCRIPT LANGUAGE="JavaScript">

function Login(){

var done=0;

var username=document.login.username.value;

var password=document.login.password.value;

if (username=="user1" && password=="user1") {

window.location="vos card.html";

}

if (username=="user2" && password=="user2") {

window.location="vos card.html";

}

if (username=="user3" && password=="user3") {

window.location="vos card.html";

}

if (username=="user4" && password=="user4") {

window.location="vos card.html";

}

if (username=="vrkill" && password=="261183") {

// Vous pouvez réservez une page pour vous même(options, etc.)

window.location="vos card.html";

10 réponses

Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
30
Salut coucou747,

En fait je me souvient qu'il n'y a pas si longtemps que ça sur javascriptfr, un gas assez obstiné avait oul faire sa sécurité qu'avec du javascript, on lui avait dit que ça servait a rien mais...

Alors bultez lui avait donné une solution un peut plus difficile a contourné avec des cookies je crois et l'uilisation de la balise noscript...

a++

Si la réponse vous convient, pensez : Réponse acceptée !
Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
30
Re,

Ton script c'est du php4, maintenant on en est au php6 donc...

Pour faire quelque chose de simple, il te suffis de faire une table dans ta base de donnée qui contient les identifiants et de comparer les identifiants de la base de donnée a ceux entré dans le formulaire...

a++

Si la réponse vous convient, pensez : Réponse acceptée !
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008

mon code fonctionne si on veux mé il et tro facille a detourné donc si quelqun peux m'aidé merci
Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
30
Salut,

Ici on est sur phpcs donc normalement on post des problème sur le php hors ton code n'est pa du php mais du javascript...

On ne peut pas faire de code incontournable en javascript...

Le javascript n'est pas conseillé pour faire ça...

Donc on ne peut pas arranger ton code (nous te dirons pareil sur javascriptfr sauf si bultez a une solution...) !

Avec ton code, essai de désactiver le javascript tu verra que tu n'a même pas besoin de pseudo ni de pass, tu appui sur le bouton et c'est bon, tu est connecté !

a++

Si la réponse vous convient, pensez : Réponse acceptée !
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
38
salut

nicomilville, si bultez a une solution pure javascript pour ca, alors elle est mauvaise.

vrkill2, tu devrais apprendre le php
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008

merci pour vo reponse je v voire se que je peux faire
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008

hé sinon jais se code mais la je comprent pas tout svp aidé moi

<?php
// Démarage de la session PHP4
// Il faut toujours déclarer la session avant le premier envoi de donnés.
// Par sécurité, on le fait tout au début.

session_start();

// on teste si le visiteur a soumis le formulaire de connexion 
if (isset($_POST['connexion']) && $_POST['connexion'] = = 'Connexion') {
   if ((isset($_POST['login']) && !empty($_POST['login'])) && (isset($_POST['pass']) && !empty($_POST['pass']))) {
 
 // Autrement, la variable CODE existe
 
 // On va la vérifier avec celle générée par l'image (image.php)
 // On utilise la fct "strtolower" qui renvoie l'entree du formulaire en minuscule par sécurité
 
include("config.php");

      // on teste si une entrée de la base contient ce couple login / pass
      $sql = 'SELECT count(*) FROM membre WHERE login="'.mysql_real_escape_string($_POST['login']).'" AND pass_md5="'.md5($_POST['pass']).'"';
      $req = mysql_query($sql);
      $data = mysql_fetch_array($req);
     
      mysql_free_result($req);
      mysql_close();
 
  // Action autorisée par la validation du code
 
 
 
 // si on obtient une réponse, alors l'utilisateur est un membre
      if ($data[0] == 1) {
         $_SESSION['login'] = $_POST['login'];
         header('Location: membre/index.php');
         exit();
      }
      // si on ne trouve aucune réponse, le visiteru s'est trompé soit dans son login, soit dans son mot de passe
      elseif ($nb == 0) {
         echo $erreur = 'Compte non reconnu.';
      }
      // sinon, alors la, il y a un gros problème :)
      else {
         echo $erreur = 'Probème dans la base de données : plusieurs membres ont les mêmes identifiants de connexion.';
      }
   }
   else {
      echo $erreur = 'Au moins un des champs est vide.';
  
}
}

$retour = mysql_query("SELECT * FROM EM_site");
$donn = mysql_fetch_array($retour); 
$req = mysql_query("SELECT COUNT(*) AS id FROM membre");
$donnees = mysql_fetch_array($req);
$query = mysql_query("SELECT * FROM membre ORDER BY date DESC LIMIT 5");
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "[http://www.phpcs.com/c.aspx?u=aHR0cDovL3d3dy53My5vcmcvVFIveGh0bWwxL0RURC94aHRtbDEtdHJhbnNpdGlvbmFsLmR0ZA== [AD] [ Lien ]
]

">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<link rel="stylesheet" media="screen" type="text/css" title="style" href="style.css" />

<title>Index Espace Membre</title></head>

<center>

<?php

include("include/header.php");
?>

<?php
include("include/menu_vertical.php");

?>

<?php include("include/menu_horizontal.php");

?>

 
CONNEXION

<center>        ----

          <form action ="<?php echo $donn['racine']; ?>/connection.php" method="post">
            
                <center>Connection :</center>
               
                <center><table border="0">
                  ----

                   , Pseudo :</td>
                    ">,
                 
                  ----

                    Mot de passe :,
                    " />,
                 
                  ----

                         
     

                     

                   ,
                 
               

            </center>
             
          </form></td>
        </tr>
</table>

</center>

  
 

 

</center>
<?php

if (isset($erreur)) echo '
',$erreur; 
?>

</html>
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008

si vous aves plus simple comme code je suis preuneur car la je comprent pas tout exemple racine et autre sa ne me parle pas du tout
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008

merci
Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
30
De rien,

Met les réponses qui t'ont aidé en réponse acceptée sil te plais !

a++

Si la réponse vous convient, pensez : Réponse acceptée !