Mot de passe invisible dans le code source
bibiss1961
Messages postés
36
Date d'inscription
lundi 26 janvier 2009
Statut
Membre
Dernière intervention
2 mai 2009
-
28 avril 2009 à 16:16
Pyrrah Messages postés 127 Date d'inscription mercredi 16 février 2005 Statut Membre Dernière intervention 15 février 2010 - 28 mai 2009 à 16:22
Pyrrah Messages postés 127 Date d'inscription mercredi 16 février 2005 Statut Membre Dernière intervention 15 février 2010 - 28 mai 2009 à 16:22
A voir également:
- Trouver un mot de passe dans le code source
- Ca peut servir mot le plus long ✓ - Forum VB.NET
- Un source ou une source - Forum C / C++ / C++.NET
- Melangeur de mot ✓ - Forum Visual Basic
- Mot aléatoire ✓ - Forum C
- Mélangeur de mot - Forum PHP
13 réponses
TychoBrahe
Messages postés
1309
Date d'inscription
samedi 31 janvier 2009
Statut
Membre
Dernière intervention
5 juin 2013
12
29 avril 2009 à 00:52
29 avril 2009 à 00:52
Salut,
De base stocker un mot de passe en clair est une très mauvaise idée, idem pour le fait de pouvoir l'afficher. Un mot de passe ça se stocke de préférence hashé afin que même si quelqu'un arrive a le récupérer il ne puisse pas l'utiliser.
Pour ce qui est du stockage, mettre ça en dur dans le code c'est un peu la loose, stocke donc plutôt dans une base de données ou directement dans un ficher. Sinon un gros conseil : essaye de coder proprement, là ton code est franchement illisible. Revois donc les bases du xhtml et sépare html, css, js et php car là c'est la caverne d'Ali Baba.
De base stocker un mot de passe en clair est une très mauvaise idée, idem pour le fait de pouvoir l'afficher. Un mot de passe ça se stocke de préférence hashé afin que même si quelqu'un arrive a le récupérer il ne puisse pas l'utiliser.
Pour ce qui est du stockage, mettre ça en dur dans le code c'est un peu la loose, stocke donc plutôt dans une base de données ou directement dans un ficher. Sinon un gros conseil : essaye de coder proprement, là ton code est franchement illisible. Revois donc les bases du xhtml et sépare html, css, js et php car là c'est la caverne d'Ali Baba.
Pyrrah
Messages postés
127
Date d'inscription
mercredi 16 février 2005
Statut
Membre
Dernière intervention
15 février 2010
4
30 avril 2009 à 19:15
30 avril 2009 à 19:15
Hello,
Euh... je reprends un peu les termes de TychoBrahe : faut que tu codes proprement histoire de pouvoir te relire et que nous puissions te lire ;-)
Je te conseille de mettre en place ton mot de passe dans une variable php et non visible dans ton code source !
Tu as la chance d'avoir du php, alors utilise le au maximum :)
Je te propose de mettre en place des sessions php.
C'est simple, facile à installer et ça garanti un niveau de sécurité supplémentaire comparé à ta proposition.
A insérer dans ta page de login en début de page (avant <html>) :
<?php
// Copyleft 2009 - Pyrrah - http://www.pyrrah.eu
$password = "ICI-TON-MOT-DE-PASSE"; // Mot de passe
if ($_POST[logged] == "yes") {
// ^^ On supposera que le formulaire possède un champ invisible nommé "logged" de valeur "yes".
// Le formulaire est transmis, alors on continue :)
if (empty($_POST[password])) {
echo "Erreur : Mot de passe vide.";
exit();
}
elseif ($_POST[password] != $password) {
echo "Erreur : Mot de passe incorrect.";
exit();
}
else {
$_SESSION['auth']="simply_and_easy"; // nom de la session permettant de vérifier que l'user est authentifié
header('Location: console.php'); // User identifié, on le redirige vers la console admin (on supposera console.php)
}
}
?>
A insérer dans tes pages à protéger (avant <html>) :
( Tu peux faire un include, c'est vachement mieux :o )
<?php
@session_start();
if ($_SESSION['auth'] ! = "simply_and_easy") {
include("login.php"); // l'user n'est pas identifié, on le redirige vers la page de login
exit();
}
?>
Après si tu veux faire des multicomptes, faudra te tourner vers php combiné à mySQL...
Bonne continuation :)
(Si mon message te convient, n'oublie pas de le valider :o)
~Pyrr@h.
H4ck3r vaillant, rien d'impossible.
Euh... je reprends un peu les termes de TychoBrahe : faut que tu codes proprement histoire de pouvoir te relire et que nous puissions te lire ;-)
Je te conseille de mettre en place ton mot de passe dans une variable php et non visible dans ton code source !
Tu as la chance d'avoir du php, alors utilise le au maximum :)
Je te propose de mettre en place des sessions php.
C'est simple, facile à installer et ça garanti un niveau de sécurité supplémentaire comparé à ta proposition.
A insérer dans ta page de login en début de page (avant <html>) :
<?php
// Copyleft 2009 - Pyrrah - http://www.pyrrah.eu
$password = "ICI-TON-MOT-DE-PASSE"; // Mot de passe
if ($_POST[logged] == "yes") {
// ^^ On supposera que le formulaire possède un champ invisible nommé "logged" de valeur "yes".
// Le formulaire est transmis, alors on continue :)
if (empty($_POST[password])) {
echo "Erreur : Mot de passe vide.";
exit();
}
elseif ($_POST[password] != $password) {
echo "Erreur : Mot de passe incorrect.";
exit();
}
else {
$_SESSION['auth']="simply_and_easy"; // nom de la session permettant de vérifier que l'user est authentifié
header('Location: console.php'); // User identifié, on le redirige vers la console admin (on supposera console.php)
}
}
?>
A insérer dans tes pages à protéger (avant <html>) :
( Tu peux faire un include, c'est vachement mieux :o )
<?php
@session_start();
if ($_SESSION['auth'] ! = "simply_and_easy") {
include("login.php"); // l'user n'est pas identifié, on le redirige vers la page de login
exit();
}
?>
Après si tu veux faire des multicomptes, faudra te tourner vers php combiné à mySQL...
Bonne continuation :)
(Si mon message te convient, n'oublie pas de le valider :o)
~Pyrr@h.
H4ck3r vaillant, rien d'impossible.
Pyrrah
Messages postés
127
Date d'inscription
mercredi 16 février 2005
Statut
Membre
Dernière intervention
15 février 2010
4
30 avril 2009 à 19:16
30 avril 2009 à 19:16
Le code n'est pas 100% sûr (notamment pour le login).
Il faut songer à le protéger (contre les attaques brute force ?).
Bon, après tout dépend, si c'est pour un petit site y'a pas besoin ;)
H4ck3r vaillant, rien d'impossible.
Il faut songer à le protéger (contre les attaques brute force ?).
Bon, après tout dépend, si c'est pour un petit site y'a pas besoin ;)
H4ck3r vaillant, rien d'impossible.
Pyrrah
Messages postés
127
Date d'inscription
mercredi 16 février 2005
Statut
Membre
Dernière intervention
15 février 2010
4
30 avril 2009 à 19:23
30 avril 2009 à 19:23
Pour le code à insérer ta page de login, j'ai oublié de mettre tout de suite après la balise de déclaration php :
@session_start(); // On ouvre une session
H4ck3r vaillant, rien d'impossible.
@session_start(); // On ouvre une session
H4ck3r vaillant, rien d'impossible.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bibiss1961
Messages postés
36
Date d'inscription
lundi 26 janvier 2009
Statut
Membre
Dernière intervention
2 mai 2009
1
1 mai 2009 à 19:09
1 mai 2009 à 19:09
Merci d'avoir répondu je pense avoir compris l'essentiel mais j'ai un problème pour mon formulaire donc j'ai mis ton code php au début
<?php
@session_start(); // On ouvre une session
// Copyleft 2009 - Pyrrah - http://www.pyrrah.eu
$password = "mot de passe"; // Mot de passe
if ($_POST[logged] == "yes") {
// ^^ On supposera que le formulaire possède un champ invisible nommé "logged" de valeur "yes".
// Le formulaire est transmis, alors on continue :)
if (empty($_POST[password])) {
echo "Erreur : Mot de passe vide.";
exit();
}
elseif ($_POST[password] != $password) {
echo "Erreur : Mot de passe incorrect.";
exit();
}
else {
$_SESSION['auth']="simply_and_easy"; // nom de la session permettant de vérifier que l'user est authentifié
header('Location: verif_essai.php'); // User identifié, on le redirige vers la console admin (on supposera console.php)
}
}
?>
et ensuite mon formulaire et je pense que c'est là où il y a une erreur pourrais-tu m'aider encore un peu ??
<form method="post" action="verif_essai.php" name="simply_and_easy">
<tr>
<td>
</td>
</tr>
</form>
merci
<?php
@session_start(); // On ouvre une session
// Copyleft 2009 - Pyrrah - http://www.pyrrah.eu
$password = "mot de passe"; // Mot de passe
if ($_POST[logged] == "yes") {
// ^^ On supposera que le formulaire possède un champ invisible nommé "logged" de valeur "yes".
// Le formulaire est transmis, alors on continue :)
if (empty($_POST[password])) {
echo "Erreur : Mot de passe vide.";
exit();
}
elseif ($_POST[password] != $password) {
echo "Erreur : Mot de passe incorrect.";
exit();
}
else {
$_SESSION['auth']="simply_and_easy"; // nom de la session permettant de vérifier que l'user est authentifié
header('Location: verif_essai.php'); // User identifié, on le redirige vers la console admin (on supposera console.php)
}
}
?>
et ensuite mon formulaire et je pense que c'est là où il y a une erreur pourrais-tu m'aider encore un peu ??
<form method="post" action="verif_essai.php" name="simply_and_easy">
<tr>
<td>
</td>
</tr>
</form>
merci
Pyrrah
Messages postés
127
Date d'inscription
mercredi 16 février 2005
Statut
Membre
Dernière intervention
15 février 2010
4
1 mai 2009 à 19:22
1 mai 2009 à 19:22
<form method="post" action="verif_essai.php" name="simply_and_easy">
Le nom du formulaire à mettre est "logged" :)
H4ck3r vaillant, rien d'impossible.
Le nom du formulaire à mettre est "logged" :)
H4ck3r vaillant, rien d'impossible.
Pyrrah
Messages postés
127
Date d'inscription
mercredi 16 février 2005
Statut
Membre
Dernière intervention
15 février 2010
4
1 mai 2009 à 19:23
1 mai 2009 à 19:23
<form method="post" action="verif_essai.php" name="logged">
H4ck3r vaillant, rien d'impossible.
H4ck3r vaillant, rien d'impossible.
bibiss1961
Messages postés
36
Date d'inscription
lundi 26 janvier 2009
Statut
Membre
Dernière intervention
2 mai 2009
1
1 mai 2009 à 19:32
1 mai 2009 à 19:32
bon ok j'ai changé le "name" mais quand je teste la page apparaît blanche !!!!!
encore un p'tit peu si tu peux !!!!!
encore un p'tit peu si tu peux !!!!!
Pyrrah
Messages postés
127
Date d'inscription
mercredi 16 février 2005
Statut
Membre
Dernière intervention
15 février 2010
4
1 mai 2009 à 19:49
1 mai 2009 à 19:49
J'ai pigé. Désolé de pas avoir vu plus tôt :)
Enlève le nom de ton formulaire.
Ajoute après form la ligne suivante :
Voilà, normalement ça fonctionne ;)
Enlève le nom de ton formulaire.
Ajoute après form la ligne suivante :
Voilà, normalement ça fonctionne ;)
bibiss1961
Messages postés
36
Date d'inscription
lundi 26 janvier 2009
Statut
Membre
Dernière intervention
2 mai 2009
1
1 mai 2009 à 20:06
1 mai 2009 à 20:06
<form method="post" action="verif_essai.php" name="logged">
<tr>
<td>
</td>
</tr>
</form>
comme ça ?? ça ne fonctionne toujours pas
<tr>
<td>
</td>
</tr>
</form>
comme ça ?? ça ne fonctionne toujours pas
bibiss1961
Messages postés
36
Date d'inscription
lundi 26 janvier 2009
Statut
Membre
Dernière intervention
2 mai 2009
1
2 mai 2009 à 19:10
2 mai 2009 à 19:10
je ne comprend pas quand tu dis enlève le non de ton formulaire où ???
<form method="post" action="verif_essai.php" name="logged">
dans cette ligne ???
Merci
<form method="post" action="verif_essai.php" name="logged">
dans cette ligne ???
Merci
Pyrrah
Messages postés
127
Date d'inscription
mercredi 16 février 2005
Statut
Membre
Dernière intervention
15 février 2010
4
28 mai 2009 à 16:21
28 mai 2009 à 16:21
Rebonjour et désolé pour la période d'absence.
Je n'ai pas été très clair... voici le code à mettre (à adapter selon la disposition de ta page) :
<!-- Pyrrah.eu -->
<form method="post" action="verif_essai.php">
</form>
Voilà à quoi ça doit ressembler :)
Dis moi ce que t'en penses et si ça marche... x)
Pyrrah
H4ck3r vaillant, rien d'impossible.
Je n'ai pas été très clair... voici le code à mettre (à adapter selon la disposition de ta page) :
<!-- Pyrrah.eu -->
<form method="post" action="verif_essai.php">
</form>
Voilà à quoi ça doit ressembler :)
Dis moi ce que t'en penses et si ça marche... x)
Pyrrah
H4ck3r vaillant, rien d'impossible.
Pyrrah
Messages postés
127
Date d'inscription
mercredi 16 février 2005
Statut
Membre
Dernière intervention
15 février 2010
4
28 mai 2009 à 16:22
28 mai 2009 à 16:22
Pyrrah
H4ck3r vaillant, rien d'impossible.
H4ck3r vaillant, rien d'impossible.