Sécuriser sans BDD? [Résolu]

Signaler
Messages postés
4
Date d'inscription
mardi 21 décembre 2004
Statut
Membre
Dernière intervention
13 août 2005
-
Messages postés
4
Date d'inscription
mardi 21 décembre 2004
Statut
Membre
Dernière intervention
13 août 2005
-
Salut à tous,



Alors voilà je développe en ce moment mon 1er site en PHP histoire de
me faire la main... A l'origine ça devait être une vitrine tout bête en
HTML mais quand je vois ce que j'arrive à faire après m'être plongé
dans quelques tutoriaux, je pense que je vais dépasser le stade de la
vulgaire vitrine statique :-)

J'ai commencé entre autres choses une petite (très modeste) interface
d'administration. Et je me demande un peu comment sécuriser la bête...
Sachant que je ne prévois pas pour le moment de base de données. Mon
idée est la suivante, dites-moi si je suis sur la bonne piste:



- Au moment de l'identification, enregistrer dans un fichier l'adresse
IP de l'utilisateur (si l'identification est positive naturellement).

- A chaque chargement d'un fichier PHP dépendant de l'administration,
relire le contenu de ce fichier et le comparer avec l'IP de
l'utilisateur sur le moment.

- Si les deux sont identiques on continue, sinon on bloque tout.

- Lors de la déconnexion, le fichier est détruit. Il est de toute façon
régénéré à chaque nouvel accès au fichier principal de l'administration.



Voila l'idée... J'attends les commentaires :-)



Seb.

6 réponses

Messages postés
196
Date d'inscription
mercredi 27 juillet 2005
Statut
Membre
Dernière intervention
2 septembre 2005

salut
sache que l'identification grâce à l'adresse IP n'est pas une bonne méthode, les clients derrières un proxy ont tous la même IP d'une part, d'autre part certains proxy se permettent de changer librement l'adresse IP.

Ce que tu veux, c'est utiliser les sessions. http://php.net/session
L'identification se fait alors à l'aide d'un cookie de session.
Messages postés
855
Date d'inscription
mardi 19 novembre 2002
Statut
Membre
Dernière intervention
28 juillet 2009
1
hello.

ton schéma tient la route.

cependant.. sécuriser un acces, c'est surtout compare un login et mot
de passe par rapport à des données stockées sur le serveur (sous forme
du bdd, acces htacces,..).

Apres, en effet tu êux vérifier que l'IP n'a pas changer en gardant une trace dans des fichiers (un par session ouverte..)



Et donc tout ça, c'est + dur à gérer (mais faisable!) avec des fichiers.


-------------------------------------
Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
Messages postés
4
Date d'inscription
mardi 21 décembre 2004
Statut
Membre
Dernière intervention
13 août 2005

Salut,



Pour le moment j'ai le login et le mot de passe "en dur" dans mon
fichier admin.php... Pour autant que je sache, les sources PHP ne sont
pas récupérables sans avoir l'accès FTP, donc je pense que ce mot de
passe devrait être à peu près à l'abri. Mais je me trompe peut-être?
Sinon, bien entendu, l'écriture / relecture de l'IP (voire aussi de
quelques autres détails, OS, navigateur, ... pour faire une comparaison
plus poussée) ne se fait qu'après vérification de ce mot de passe bien
entendu, c'est lui qui déclenche tout.



Seb.
Messages postés
4
Date d'inscription
mardi 21 décembre 2004
Statut
Membre
Dernière intervention
13 août 2005

Merci pour l'adresse. Le peu que j'avais vu sur les sessions jusqu'ici
me portait à croire qu'elles nécessitaient une BDD mais manifestement
j'avais tort.



Seb.
Messages postés
196
Date d'inscription
mercredi 27 juillet 2005
Statut
Membre
Dernière intervention
2 septembre 2005

peut-être que tu devrais aussi chercher un peu sur google comment on securise du code php... c'est souvent plus ardu que l'on peut le penser
Messages postés
4
Date d'inscription
mardi 21 décembre 2004
Statut
Membre
Dernière intervention
13 août 2005

Pour ceux que cela intéresse, j'ai trouvé (je pense) la bonne voie à suivre ici:



http://www.phpfreaks.com/tutorials/17/0.php



A creuser naturellement, et à compléter avec une session. Jusqu'ici
j'avais un formulaire HTML qui postait les données de login à un script
PHP chargé de faire la vérification, mais cette m"thode est bien plus
efficace. Ensuite il faudra que je voie si je peux encrypter tout ça...



Seb.