Faille de securité
Résolu
vrkill2
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008
-
8 août 2008 à 12:04
nicomilville Messages postés 3472 Date d'inscription lundi 16 juillet 2007 Statut Membre Dernière intervention 28 février 2014 - 8 août 2008 à 22:58
nicomilville Messages postés 3472 Date d'inscription lundi 16 juillet 2007 Statut Membre Dernière intervention 28 février 2014 - 8 août 2008 à 22:58
10 réponses
nicomilville
Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
36
8 août 2008 à 15:10
8 août 2008 à 15:10
Salut coucou747,
En fait je me souvient qu'il n'y a pas si longtemps que ça sur javascriptfr, un gas assez obstiné avait oul faire sa sécurité qu'avec du javascript, on lui avait dit que ça servait a rien mais...
Alors bultez lui avait donné une solution un peut plus difficile a contourné avec des cookies je crois et l'uilisation de la balise noscript...
a++
Si la réponse vous convient, pensez : Réponse acceptée !
En fait je me souvient qu'il n'y a pas si longtemps que ça sur javascriptfr, un gas assez obstiné avait oul faire sa sécurité qu'avec du javascript, on lui avait dit que ça servait a rien mais...
Alors bultez lui avait donné une solution un peut plus difficile a contourné avec des cookies je crois et l'uilisation de la balise noscript...
a++
Si la réponse vous convient, pensez : Réponse acceptée !
nicomilville
Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
36
8 août 2008 à 19:39
8 août 2008 à 19:39
Re,
Ton script c'est du php4, maintenant on en est au php6 donc...
Pour faire quelque chose de simple, il te suffis de faire une table dans ta base de donnée qui contient les identifiants et de comparer les identifiants de la base de donnée a ceux entré dans le formulaire...
a++
Si la réponse vous convient, pensez : Réponse acceptée !
Ton script c'est du php4, maintenant on en est au php6 donc...
Pour faire quelque chose de simple, il te suffis de faire une table dans ta base de donnée qui contient les identifiants et de comparer les identifiants de la base de donnée a ceux entré dans le formulaire...
a++
Si la réponse vous convient, pensez : Réponse acceptée !
vrkill2
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008
8 août 2008 à 12:22
8 août 2008 à 12:22
mon code fonctionne si on veux mé il et tro facille a detourné donc si quelqun peux m'aidé merci
nicomilville
Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
36
8 août 2008 à 13:06
8 août 2008 à 13:06
Salut,
Ici on est sur phpcs donc normalement on post des problème sur le php hors ton code n'est pa du php mais du javascript...
On ne peut pas faire de code incontournable en javascript...
Le javascript n'est pas conseillé pour faire ça...
Donc on ne peut pas arranger ton code (nous te dirons pareil sur javascriptfr sauf si bultez a une solution...) !
Avec ton code, essai de désactiver le javascript tu verra que tu n'a même pas besoin de pseudo ni de pass, tu appui sur le bouton et c'est bon, tu est connecté !
a++
Si la réponse vous convient, pensez : Réponse acceptée !
Ici on est sur phpcs donc normalement on post des problème sur le php hors ton code n'est pa du php mais du javascript...
On ne peut pas faire de code incontournable en javascript...
Le javascript n'est pas conseillé pour faire ça...
Donc on ne peut pas arranger ton code (nous te dirons pareil sur javascriptfr sauf si bultez a une solution...) !
Avec ton code, essai de désactiver le javascript tu verra que tu n'a même pas besoin de pseudo ni de pass, tu appui sur le bouton et c'est bon, tu est connecté !
a++
Si la réponse vous convient, pensez : Réponse acceptée !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
coucou747
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Membre
Dernière intervention
30 juillet 2012
44
8 août 2008 à 14:22
8 août 2008 à 14:22
salut
nicomilville, si bultez a une solution pure javascript pour ca, alors elle est mauvaise.
vrkill2, tu devrais apprendre le php
nicomilville, si bultez a une solution pure javascript pour ca, alors elle est mauvaise.
vrkill2, tu devrais apprendre le php
vrkill2
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008
8 août 2008 à 17:15
8 août 2008 à 17:15
merci pour vo reponse je v voire se que je peux faire
vrkill2
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008
8 août 2008 à 17:18
8 août 2008 à 17:18
hé sinon jais se code mais la je comprent pas tout svp aidé moi
<?php
// Démarage de la session PHP4
// Il faut toujours déclarer la session avant le premier envoi de donnés.
// Par sécurité, on le fait tout au début.
session_start();
// on teste si le visiteur a soumis le formulaire de connexion
if (isset($_POST['connexion']) && $_POST['connexion'] = = 'Connexion') {
if ((isset($_POST['login']) && !empty($_POST['login'])) && (isset($_POST['pass']) && !empty($_POST['pass']))) {
// Autrement, la variable CODE existe
// On va la vérifier avec celle générée par l'image (image.php)
// On utilise la fct "strtolower" qui renvoie l'entree du formulaire en minuscule par sécurité
include("config.php");
// on teste si une entrée de la base contient ce couple login / pass
$sql = 'SELECT count(*) FROM membre WHERE login="'.mysql_real_escape_string($_POST['login']).'" AND pass_md5="'.md5($_POST['pass']).'"';
$req = mysql_query($sql);
$data = mysql_fetch_array($req);
mysql_free_result($req);
mysql_close();
// Action autorisée par la validation du code
// si on obtient une réponse, alors l'utilisateur est un membre
if ($data[0] == 1) {
$_SESSION['login'] = $_POST['login'];
header('Location: membre/index.php');
exit();
}
// si on ne trouve aucune réponse, le visiteru s'est trompé soit dans son login, soit dans son mot de passe
elseif ($nb == 0) {
echo $erreur = 'Compte non reconnu.';
}
// sinon, alors la, il y a un gros problème :)
else {
echo $erreur = 'Probème dans la base de données : plusieurs membres ont les mêmes identifiants de connexion.';
}
}
else {
echo $erreur = 'Au moins un des champs est vide.';
}
}
$retour = mysql_query("SELECT * FROM EM_site");
$donn = mysql_fetch_array($retour);
$req = mysql_query("SELECT COUNT(*) AS id FROM membre");
$donnees = mysql_fetch_array($req);
$query = mysql_query("SELECT * FROM membre ORDER BY date DESC LIMIT 5");
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "[http://www.phpcs.com/c.aspx?u=aHR0cDovL3d3dy53My5vcmcvVFIveGh0bWwxL0RURC94aHRtbDEtdHJhbnNpdGlvbmFsLmR0ZA== [AD] [ Lien ]
]
">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<link rel="stylesheet" media="screen" type="text/css" title="style" href="style.css" />
<title>Index Espace Membre</title></head>
<center>
<?php
include("include/header.php");
?>
<?php
include("include/menu_vertical.php");
?>
<?php include("include/menu_horizontal.php");
?>
CONNEXION
<center> ----
<form action ="<?php echo $donn['racine']; ?>/connection.php" method="post">
<center>Connection :</center>
<center><table border="0">
----
, Pseudo :</td>
">,
----
Mot de passe :,
" />,
----
,
</center>
</form></td>
</tr>
</table>
</center>
</center>
<?php
if (isset($erreur)) echo '
',$erreur;
?>
</html>
<?php
// Démarage de la session PHP4
// Il faut toujours déclarer la session avant le premier envoi de donnés.
// Par sécurité, on le fait tout au début.
session_start();
// on teste si le visiteur a soumis le formulaire de connexion
if (isset($_POST['connexion']) && $_POST['connexion'] = = 'Connexion') {
if ((isset($_POST['login']) && !empty($_POST['login'])) && (isset($_POST['pass']) && !empty($_POST['pass']))) {
// Autrement, la variable CODE existe
// On va la vérifier avec celle générée par l'image (image.php)
// On utilise la fct "strtolower" qui renvoie l'entree du formulaire en minuscule par sécurité
include("config.php");
// on teste si une entrée de la base contient ce couple login / pass
$sql = 'SELECT count(*) FROM membre WHERE login="'.mysql_real_escape_string($_POST['login']).'" AND pass_md5="'.md5($_POST['pass']).'"';
$req = mysql_query($sql);
$data = mysql_fetch_array($req);
mysql_free_result($req);
mysql_close();
// Action autorisée par la validation du code
// si on obtient une réponse, alors l'utilisateur est un membre
if ($data[0] == 1) {
$_SESSION['login'] = $_POST['login'];
header('Location: membre/index.php');
exit();
}
// si on ne trouve aucune réponse, le visiteru s'est trompé soit dans son login, soit dans son mot de passe
elseif ($nb == 0) {
echo $erreur = 'Compte non reconnu.';
}
// sinon, alors la, il y a un gros problème :)
else {
echo $erreur = 'Probème dans la base de données : plusieurs membres ont les mêmes identifiants de connexion.';
}
}
else {
echo $erreur = 'Au moins un des champs est vide.';
}
}
$retour = mysql_query("SELECT * FROM EM_site");
$donn = mysql_fetch_array($retour);
$req = mysql_query("SELECT COUNT(*) AS id FROM membre");
$donnees = mysql_fetch_array($req);
$query = mysql_query("SELECT * FROM membre ORDER BY date DESC LIMIT 5");
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "[http://www.phpcs.com/c.aspx?u=aHR0cDovL3d3dy53My5vcmcvVFIveGh0bWwxL0RURC94aHRtbDEtdHJhbnNpdGlvbmFsLmR0ZA== [AD] [ Lien ]
]
">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<link rel="stylesheet" media="screen" type="text/css" title="style" href="style.css" />
<title>Index Espace Membre</title></head>
<center>
<?php
include("include/header.php");
?>
<?php
include("include/menu_vertical.php");
?>
<?php include("include/menu_horizontal.php");
?>
CONNEXION
<center> ----
<form action ="<?php echo $donn['racine']; ?>/connection.php" method="post">
<center>Connection :</center>
<center><table border="0">
----
, Pseudo :</td>
">,
----
Mot de passe :,
" />,
----
,
</center>
</form></td>
</tr>
</table>
</center>
</center>
<?php
if (isset($erreur)) echo '
',$erreur;
?>
</html>
vrkill2
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008
8 août 2008 à 17:25
8 août 2008 à 17:25
si vous aves plus simple comme code je suis preuneur car la je comprent pas tout exemple racine et autre sa ne me parle pas du tout
vrkill2
Messages postés
84
Date d'inscription
mardi 8 juillet 2008
Statut
Membre
Dernière intervention
17 août 2008
8 août 2008 à 22:08
8 août 2008 à 22:08
merci
nicomilville
Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
36
8 août 2008 à 22:58
8 août 2008 à 22:58
De rien,
Met les réponses qui t'ont aidé en réponse acceptée sil te plais !
a++
Si la réponse vous convient, pensez : Réponse acceptée !
Met les réponses qui t'ont aidé en réponse acceptée sil te plais !
a++
Si la réponse vous convient, pensez : Réponse acceptée !
