Tilix
Messages postés171Date d'inscriptionsamedi 4 décembre 2004StatutMembreDernière intervention31 août 2009
-
22 août 2005 à 00:36
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 2007
-
24 août 2005 à 00:24
Salut !
Alors voilà j'ai un petit problème avec mes cookies !
$expire = time() + 365 * 24 * 3600 * 10;
setcookie("pseudo",$_POST['pseudo'],$expire);
setcookie("password",$_POST['password'],$expire);
Il est sensé garder en memoire le pseudo et le mot de passe d'un utilisateur... Ce script est en haut de page !
Mais lorsque je fais : echo $_COOKIE["pseudo"]; rien ne s'affiche !!
Je présise que mon navigateur accèpte les cookies..
Tilix
Messages postés171Date d'inscriptionsamedi 4 décembre 2004StatutMembreDernière intervention31 août 2009 23 août 2005 à 00:57
C'est bon j'ai tout résolu par mes propres moyens... Mais j'sais
toujours pas de quoi venez l'erreur donc j'peux pas vous en dire plus,
j'ai juste refais le tout dans une page " vide ", sa marché, j'ai
refais pareil sur ma page pleine et sa marché... alors que j'avais fait
pareil au debut..
cs_aKheNathOn
Messages postés575Date d'inscriptiondimanche 23 décembre 2001StatutMembreDernière intervention23 octobre 2012 22 août 2005 à 09:25
Non, les cookies sont des entétes commes les autres, donc si ton hébérgeur n'incruste pas sa pub avant l'envoie de tes pages de scripts, en principe tu peux les envoyer comme tout autre entéte (au même titre qu'un header('Location: ...');
Ecris ça :
<?
$expire = time() + 365 * 24 * 3600 * 10;
if (!headers_sent()) {
setcookie("pseudo",$_POST['pseudo'],$expire, "/");
setcookie("password",$_POST['password'],$expire, "/");
} else {
echo "Impossible d'envoyer les cookies ...";
}
Sinon, t'embette pas, fait tout en séssion, c'est encore plus sécurisé.
<?
if (!session_id()) session_start();
$_SESSION["pseudo"] = $_POST['pseudo'];
$_SESSION["password"] = $_POST['password'];
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 23 août 2005 à 00:43
"Conclusion :
Aucun moyen de vérifier si le navigateur client à acfepté le cookie."
Ah bon ?
tu postes un cookie sur une page x.php. Tu mets mettons un formulaire
qui vérifie sur cette page x.php si le cookie existe et hop c'est
torché, je fais ça sur mon site et ça marche très bien, tu peux donc
vérifier si le cookie a été accepté ou pas ;-)
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 23 août 2005 à 00:55
On est bien d'accord, il est impossible SANS REFRESH de vérifier si un
cookie a été posté, mais tu ne l'avais pas précisé, ou alors j'ai mal
lu (ou les deux), je vois un "Quoi !?!" qui justement m'a peut-être
porté à confusion
cs_garfield90
Messages postés388Date d'inscriptionlundi 7 juillet 2003StatutWebmasterDernière intervention10 février 2009 23 août 2005 à 19:24
l'auto-login est une abbération au niveau de la sécurité.
le stocké en md5 ne changera pas grand chose pour la sécurité.
Si je choppe ton cookie avec ton login/pass (md5, sha1, ou en clair)
administrateur, je serai identifié en tant qu'admin donc y a pas de
sécu du tout.
Tu as les variables de sessions $_SESSION, qui sont fait pour ca.
Les cookies servent a garder des informations de conforts de
l'utilisateurs genre ( CSS préféré, message vu etc.) mais pas des
informations aussi sensible que le login ou le mot de passes
"They are 10 sorts of persons whose understand binary and whose not"
J_G
Messages postés1406Date d'inscriptionmercredi 17 août 2005StatutMembreDernière intervention28 août 200710 23 août 2005 à 20:23
Bijour,
Vos questions de sécurité sont intéressantes...
Aprés un bref coup d'oeil : gmail, hotmail, ... et même notre chère
www.phpcs.com concervent tous un Cookie du type "SID=clef_md5_ou_pire",
expirant en 2015.
Mais finalement... Qu'est ce qui est le mieux ?
1. Envoyer une page HTML non-cryptée avec une entête de type
Cookie: SID = 1234567897654130198432198
2. Envoyer une page HTML non-cryptée avec une entête de type
3. Mettre un espion sur le port "www.phpcs.com:80" afin de choper le
code admin de Nix et boire trankilos une binouze en attendant de
pouvoir coller un bronx pas croyable sur tous les sites Codes-Sources
4. Faire ces développement normalement... Puis investir dans une connexion sécurisée ci vraiment y faut
Je vous laisse choisir... Et en attendant je vais me boire une binouze (pas de panique Nix, je viens en paix ;)
J_G
Messages postés1406Date d'inscriptionmercredi 17 août 2005StatutMembreDernière intervention28 août 200710 23 août 2005 à 20:45
Et même que ... au final ...
Imaginons que j'ai posé des programme agent sur toute les passerelles
de France, en attendant l'hypothétique
"Post:login=Nix,Password=bonne_cte_binouze"
Et ben si le gonze il utilise l'auto-connexion, comment je repère que
Nix c'est "Cookie:SID=6546519841321468432198432198473516876" ???
Faut essayer toutes les variables de connexion qui passent à ma
portée... l'enfer ! Possible, mais l'enfer... Bref, au final j'ai
l'impression qu'il vaut mieux utiliser une auto-connexion (surtout si
on est l'admin) pour passer inaperçu. A voir...
P.S. : Remplacer "HTML" par "HTTP" dans le post précedant. M'ci d'avance.
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 23 août 2005 à 21:30
"Si je choppe ton cookie avec ton login/pass (md5, sha1, ou en clair)
administrateur, je serai identifié en tant qu'admin donc y a pas de
sécu du tout."
après va chopper le cookie aussi ;-) les forums hardware.fr se sont
fait hacker car le mot de passe était stocké EN CLAIR (oui vous lisez
bien...) un petit coup de flash et hop, fini le forum mdr
bref si tu as un site sécurisé qui ne permet pas aux utilisateurs
d'uploader du flash pour les avatars (ou autre truc pourri genre
javascript dans le code) il n'y a pas de raisons pour avoir un
problème...
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 24 août 2005 à 00:24
flash permet via actionscript de récupérer les cookies de ton site vu
que ce sera un avatar uploadé sur ton site (rappelons qu'il est
impossible à un site de lire les cookies d'un autre site).