Sécuriser sans BDD?Résolu

Question

Salut &#224; tous,



Alors voil&#224; je d&#233;veloppe en ce moment mon 1er site en PHP histoire de
me faire la main... A l'origine &#231;a devait &#234;tre une vitrine tout b&#234;te en
HTML mais quand je vois ce que j'arrive &#224; faire apr&#232;s m'&#234;tre plong&#233;
dans quelques tutoriaux, je pense que je vais d&#233;passer le stade de la
vulgaire vitrine statique :-)

J'ai commenc&#233; entre autres choses une petite (tr&#232;s modeste) interface
d'administration. Et je me demande un peu comment s&#233;curiser la b&#234;te...
Sachant que je ne pr&#233;vois pas pour le moment de base de donn&#233;es. Mon
id&#233;e est la suivante, dites-moi si je suis sur la bonne piste:



- Au moment de l'identification, enregistrer dans un fichier l'adresse
IP de l'utilisateur (si l'identification est positive naturellement).

- A chaque chargement d'un fichier PHP d&#233;pendant de l'administration,
relire le contenu de ce fichier et le comparer avec l'IP de
l'utilisateur sur le moment.

- Si les deux sont identiques on continue, sinon on bloque tout.

- Lors de la d&#233;connexion, le fichier est d&#233;truit. Il est de toute fa&#231;on
r&#233;g&#233;n&#233;r&#233; &#224; chaque nouvel acc&#232;s au fichier principal de l'administration.



Voila l'id&#233;e... J'attends les commentaires :-)



Seb.

mcjoedassin · Accepted Answer

salut
sache que l'identification grâce à l'adresse IP n'est pas une bonne méthode, les clients derrières un proxy ont tous la même IP d'une part, d'autre part certains proxy se permettent de changer librement l'adresse IP.

Ce que tu veux, c'est utiliser les sessions. http://php.net/session
L'identification se fait alors à l'aide d'un cookie de session.

davwart · Answer

hello.

ton sch&#233;ma tient la route.

cependant.. s&#233;curiser un acces, c'est surtout compare un login et mot
de passe par rapport &#224; des donn&#233;es stock&#233;es sur le serveur (sous forme
du bdd, acces htacces,..).

Apres, en effet tu &#234;ux v&#233;rifier que l'IP n'a pas changer en gardant une trace dans des fichiers (un par session ouverte..)



Et donc tout &#231;a, c'est + dur &#224; g&#233;rer (mais faisable!) avec des fichiers.


-------------------------------------
Les ordinateurs, plus on s'en sert moins, moins &#231;a a de chance de mal marcher. [Les Shadoks]

scismondo · Answer

Salut,



Pour le moment j'ai le login et le mot de passe "en dur" dans mon
fichier admin.php... Pour autant que je sache, les sources PHP ne sont
pas r&#233;cup&#233;rables sans avoir l'acc&#232;s FTP, donc je pense que ce mot de
passe devrait &#234;tre &#224; peu pr&#232;s &#224; l'abri. Mais je me trompe peut-&#234;tre?
Sinon, bien entendu, l'&#233;criture / relecture de l'IP (voire aussi de
quelques autres d&#233;tails, OS, navigateur, ... pour faire une comparaison
plus pouss&#233;e) ne se fait qu'apr&#232;s v&#233;rification de ce mot de passe bien
entendu, c'est lui qui d&#233;clenche tout.



Seb.

scismondo · Answer

Merci pour l'adresse. Le peu que j'avais vu sur les sessions jusqu'ici
me portait &#224; croire qu'elles n&#233;cessitaient une BDD mais manifestement
j'avais tort.



Seb.

mcjoedassin · Answer

peut-être que tu devrais aussi chercher un peu sur google comment on securise du code php... c'est souvent plus ardu que l'on peut le penser

scismondo · Answer

Pour ceux que cela int&#233;resse, j'ai trouv&#233; (je pense) la bonne voie &#224; suivre ici:



http://www.phpfreaks.com/tutorials/17/0.php



A creuser naturellement, et &#224; compl&#233;ter avec une session. Jusqu'ici
j'avais un formulaire HTML qui postait les donn&#233;es de login &#224; un script
PHP charg&#233; de faire la v&#233;rification, mais cette m"thode est bien plus
efficace. Ensuite il faudra que je voie si je peux encrypter tout &#231;a...



Seb.

Sécuriser sans BDD?

6 réponses

Votre réponse

Discussions similaires