AUTHENTIFICATION SÉCURISÉE PAR SESSIONS ET MOT DE PASSE CHIFFRÉ PAR MD5 // BDD M
mnjagg
Messages postés
34
Date d'inscription
vendredi 28 novembre 2003
Statut
Membre
Dernière intervention
5 mai 2004
-
5 mai 2004 à 16:03
jordane45 Messages postés 38144 Date d'inscription mercredi 22 octobre 2003 Statut Modérateur Dernière intervention 21 avril 2024 - 27 juil. 2018 à 21:55
jordane45 Messages postés 38144 Date d'inscription mercredi 22 octobre 2003 Statut Modérateur Dernière intervention 21 avril 2024 - 27 juil. 2018 à 21:55
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/22538-authentification-securisee-par-sessions-et-mot-de-passe-chiffre-par-md5-bdd-mysql
https://codes-sources.commentcamarche.net/source/22538-authentification-securisee-par-sessions-et-mot-de-passe-chiffre-par-md5-bdd-mysql
27 juil. 2018 à 21:55
Il faut modifier le code.
Et puis le md5... ce n'est plus du tout sécurisé.
Code obsolète à oublier...
27 juil. 2018 à 21:49
Modifié par coco le 22/03/2017 à 16:55
25 oct. 2016 à 12:18
merci pour le projet ça m'a bcp cervi
j'ai creer la base de données
mais en essayant à s'authentifier avec login=toto et mot de passe
ça m'affiche toujours mot de passe ou login incorrect
aidez moi SVP
6 mai 2016 à 01:01
13 avril 2012 à 14:44
http://www.phpcs.com/codes/LOGIN-SHA1-CREATION-UTILISATEUR_52771.aspx
N'hésitez pas à le télécharger, le noter et laisser des commentaires.
13 avril 2012 à 14:44
http://www.phpcs.com/codes/LOGIN-SHA1-CREATION-UTILISATEUR_52771.aspx
N'hésitez pas à le télécharger, le noter et laisser des commentaires.
28 mars 2012 à 22:53
10 févr. 2012 à 14:39
17 déc. 2011 à 14:27
encore merci à mavounet pour le partage de cette source je la trouve super utile
cependant. j'ai un souci:
le premier et que quand je me log en utilisant le script et les identifiants il me dit que aucune base n'a été sélectionné.
Alors que j'ai suivie l'installation à la lettre.
Si quelqu'un avait une idée merci d'avance
17 déc. 2011 à 14:27
encore merci à mavounet pour le partage de cette source je la trouve super utile
cependant. j'ai un souci:
le premier et que quand je me log en utilisant le script et les identifiants il me dit que aucune base n'a été sélectionné.
Alors que j'ai suivie l'installation à la lettre.
Si quelqu'un avait une idée merci d'avance
17 déc. 2011 à 14:27
encore merci à mavounet pour le partage de cette source je la trouve super utile
cependant. j'ai un souci:
le premier et que quand je me log en utilisant le script et les identifiants il me dit que aucune base n'a été sélectionné.
Alors que j'ai suivie l'installation à la lettre.
Si quelqu'un avait une idée merci d'avance
17 déc. 2011 à 14:27
encore merci à mavounet pour le partage de cette source je la trouve super utile
cependant. j'ai un souci:
le premier et que quand je me log en utilisant le script et les identifiants il me dit que aucune base n'a été sélectionné.
Alors que j'ai suivie l'installation à la lettre.
Si quelqu'un avait une idée merci d'avance
1 nov. 2011 à 20:01
Sauf erreur de ma part, la commande close(DBProtect) n'existe nulle part dan le script pour fermer la BD
cordialement
1 nov. 2011 à 20:00
Sauf erreur de ma part, la commande close(DBProtect) n'existe nulle part dan le script pour fermer la BD
cordialement
7 août 2011 à 22:13
du genre :
Deprecated: Function session_register() is deprecated in C:\Program Files\EasyPHP-5.3.5.0\www\codesourse\index.php on line 26
ici il suffit d'ouvrir le fichier index.php, d'aller à la ligne 26 et de supprimer session_register() et d'utiliser correctement les variables de session...
5 août 2011 à 07:08
"Et puis après tout, il suffit de changer quelques lignes de code pour qu'il fonctionne correctement."
Ben justement, si on savait quoi faire, on demanderait pas de l'aide ..........
Et peut-être que ces quelques lignes ne font pas partie intégrante du site et que tu peux les communiquer ???
4 août 2011 à 22:44
Et cela n'est pas possible.
Et puis après tout, il suffit de changer quelques lignes de code pour qu'il fonctionne correctement. Alors par respect pour l'auteur, un petit effort et vous y arriverez.
Un code qui vous tombe tout cuit dans la bouche, ça n'apporte rien.
@++
4 août 2011 à 06:47
Je sais pas vous mais à la lecture de ces commentaires, on dirait que pas mal de gens on installé ce code.
Si parmi ceux-ci, un seul pouvait mettre à disposition son travail, puisque apparament il a fallu le retoucher, se serait vraiment sympa. ;)
11 mai 2011 à 15:07
Une recherche vous aurez rapidement aidé... http://php.net/manual/fr/function.session-register.php
Cette fonction est obsolète aujourd'hui, autant directement utiliser $_SESSION['ma_session'] = TRUE;
See you !
11 mai 2011 à 15:02
j'ai eu ça kan j'ai mis le login et mdp
11 mai 2011 à 15:02
j'ai eu ça kan j'ai mis le login et mdp
11 mai 2011 à 15:02
j'ai eu ça kan j'ai mis le login et mdp
11 mai 2011 à 15:02
j'ai eu ça kan j'ai mis le login et mdp
2 mars 2011 à 10:54
merci beaucoup pour votre partage
hantouva
9 janv. 2011 à 08:17
On parle simplement d'un code qui est ancien (qui à plus de 6 ans !).
Les fonctions donc obsolète aujourd'hui était courante hier !
Voilà tout =)
9 janv. 2011 à 07:47
Ca se discute, mais alors pourquoi proposer des codes qui ne sont pas finis ?
Et surtout qui note si fort pour un code pas fini.
Et pourquoi faut-il obligatoirement tomber dans le tonneau, on peut simplement chercher un script utile sans être pratiquant.
Je suis sur que la majorité des internautes qui arrivent ici sont dans ce cas.
Maintenant si phpcs n'est réservé qu'à des pro, débutants ou initiés (pourquoi pas), il serait bon de le signaler.
Mais il me semble que phpcs est ouvert à tous.
Ce que je veux dire, c'est que sur les quelques codes que je suis venu chercher (authentification, espace membres), aucun ne marche.
Mais surtout, ceux qui y arrivent, sont bien content de la source mais n'apportent pas les modifications qu'ils ont fait pour.
8 janv. 2011 à 21:57
Autant utiliser $_SESSION directement...
C'est vrai que je ne l'ai pas installé directement mais amélioré avant... Et puis, phpcs n'est pas la pour donner des codes sources tout fait non plus =D Il faut bien tomber dans le tonneau aussi si on veut savoir ce que l'on fait !
8 janv. 2011 à 07:52
C'est dommage que personne ne reprenne ce script et le fasse fonctionner.
Et je me demande comment il a obtenu un 9 alors que si on lit les réponses, ma foi personne ne l'a vraiment installé.
Ou alors en retouchant mais personne ne le dit :(
7 janv. 2011 à 15:25
Enfin je trouve LE script qu'il me fallait, et m***e, ça ne fonctionne plus depuis PHP 5.3.0 avec la fonction session_register dans index.php !
Avez vous une solution ?
Merci d'avance & @+
12 sept. 2010 à 09:01
14 août 2010 à 17:49
Toutefois, j'aimerais que la redirection se fasse en fonction de la page qu'a demandé l'internaute.
C'est à dire s'il tape http://bipbip.com il s'authentifie puis il se fait redirigé sur http://bipbip.com/index.php
Mais s'il saisie http://bipbip.com/coyote/pamplemouse.php, il faut qu'il s'authentifie puis qu'il soit redirigé vers http://bipbip.com/coyote/pamplemouse.php
Merci par avance pour votre aide.
28 juil. 2010 à 06:48
3 janv. 2010 à 10:38
donc pour les personnes qui auront le problème 1 : Deprecated: Function session_is_registered() is deprecated in (... acceuil.php) j'ai remplacé:" if (session_is_registered("authentification")) par if (isset($_SESSION['authentification'])) " mais entre "session_start();" et "if (session_is_registered("authentification") && $_SESSION['privilege'] == "admin")"
ensuite pour le problème 2 :
j'ai déclaré les rajouts que j'ai effectué dans ma table "utilisateurs" dans le fichier qui sert à l'identification du membre dans la partie suivante :
...
$_SESSION['prenom'] = $row_verif['prenom'];
$_SESSION['email'] = $row_verif['email'];
...
Voila c'est tout ! Bonne année 2010 dans tous les cas
3 janv. 2010 à 08:30
Il y a surtout que ce script date de 2004 et Mise à Jour: 18 septembre 2005 12:01:21
Beaucoup de chose ont évolué coté mysql mais aussi version php chez les hébergeurs.
Je ne sais pas si mavounet est toujours présent, mais lui ou un autre aurait vraiment une excellente idée en reprenant ce script, en le mettant au gout du jour et en corrigeant les petites erreurs qui permettrait de s'en servir simplement et facilement.
Un readme.txt clair et complet pour tous serait trés appécié ;-)
2 janv. 2010 à 22:14
2 janv. 2010 à 21:48
J'ai deux problèmes dont je n'arrive pas à résoudre , mais pour vous peut être une formalité .
Problème 1 :
lorsque je lance la page accueil.php aprés la connexion a mon compte un message d'erreur apparaît : Deprecated: Function session_is_registered() is deprecated in (... acceuil.php).
Problème 2 :
je souhaites adapter d'autres données à ma table utilisateurs (ville adresse etc) . J'ai inséré ce qu'il fallait dans ma base sql . Mais lorsque j'essaie de l'adapter au fichier accueil.php et que j'essai de l'afficher à partir d'internet explorer rien ne s'affiche . par exemple : j'ai inséré la commande suivant : <?php echo $_SESSION['ville']; ?> correspondant dans ma table à "ville" .
Alors que dois-je faire ?
Merci d'avance !
15 nov. 2009 à 11:55
Tres bonne source. Mais est ce qu'il y a un moyen pour renvoyer le mot de passe crypté en cas d'oublie de son mot de passe ?
Merci d'avance
31 août 2009 à 15:02
Débutant en Php, je passe assez souvent ici afin de parfaire mes connaissances et d'en apprendre un peu plus. Un grand merci aux couches tard qui investissent du temps pour faire avancer les choses. Mais je constate régulièrement que certains ont la critique "non constructive" ce qui me rebute à poster mes sources perso...
Lorsque je lis les commentaires de "Maitre REVINC", je manque de motivation ! Bizzard, non ?
Au lieu d'écrire "T'es nul" ou bien "Ca vaut rien ton truc" et autres, sache une chose Môssieur, nous sommes tous passés par la phase apprentissage, même toi !!!
Marche à l'ombre...
5 mai 2009 à 18:47
1)Ajouter un formulaire que l'utilisateur remplit pour créer son compte.
2)lorsque l'utilisateur paie une vidéo, lui donner les droits afin qu'il puisse la télécharger.
(c'est pour un projet de site VOD dans le cadre de mes études)
Merci
21 avril 2009 à 16:26
J'ai oublié de modifié un paramètre dans connexion.php à savoir
$dbprotect que je n'ai pas corrigé...
21 avril 2009 à 16:01
Je pense avoir compris le fonctionnement global du script, seulement je rencontre des difficulté pour l'adapter à ma base de données apparemment.
A ce niveau, dans le code original:
mysql_select_db($database_dbprotect, $dbprotect);
$verif_query=sprintf("SELECT * FROM utilisateurs WHERE login='$login' AND pass='$pass'"); // requête sur la base administrateurs
$verif = mysql_query($verif_query, $dbprotect) or die(mysql_error());
Le mien modifié:
mysql_select_db($database_pha, $pha);
$verif_query=sprintf("SELECT * FROM ph_users WHERE login='$login' AND pass='$pass'"); // requête sur la base administrateurs
$verif = mysql_query($verif_query, $pha) or die(mysql_error());
Je reçois les erreurs suivante:
Notice: Undefined variable: pha in E:\wamp\www\PHA\index.php on line 17
Warning: mysql_select_db(): supplied argument is not a valid MySQL-Link resource in E:\wamp\www\PHA\index.php on line 17
Notice: Undefined variable: pha in E:\wamp\www\PHA\index.php on line 19
Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in E:\wamp\www\PHA\index.php on line 19
Après recherches il me parait que cela vienne du link_identifier sur les lignes mysql_select_db et mysql_query.
Une idée ? Notamment sur la façon d'adapter le code à une autre db?
Merci par avance.
6 avril 2009 à 12:42
Ca avance doucement.
1)Pour la base, les infos sont bonnes puisque je pouvais entrer en admin.
2)J'ai changé le code et c'est bon.
3)Par contre pour le sript a mettre dans les pages sécurisées, il faut rajouter ce commantaire:
header("Location:index.php?erreur=intru"); // redirection en cas d'echec, sauf si cette page n'est pas dans le même repertoire, si c'est le cas, indiquer le bon chemin.
On arrive donc dans l'espace pour entrer le login et pass.
Une fois fait, soit sous admin soit sous utilisateur, le renvoi va vers une page 404.
Et si on sort et qu'on clique à nouveau sur le lien de la page désirée, on entre alors sans problème ????
5 avril 2009 à 23:19
2 - Edite ta page accueil.php (après en avoir bien sur sauvegardé une copie que tu renommes "accueil_original.php") au cas où.
page accueil.php :
<?php require_once('connexion.php');
session_start();
if (session_is_registered("authentification")){ // vérification sur la session authentification (la session est elle enregistrée ?)
// ici les éventuelles actions en cas de réussite de la connexion
}
else {
header("Location:index.php?erreur=intru"); // redirection en cas d'echec
}
if($_SESSION['privilege'] == "admin") {
header('location:page_pour_les_admins.php');
}
if($_SESSION['privilege'] == "user") {
header('location:page_pour_les_simples_utilisateurs.php');
}
?>
Ensuite, dans toutes les pages protégées :
<?php require_once('connexion.php'); // Sauf si cette page n'est pas dans le même repertoire, si c'est le cas, indiquer le bon chemin
session_start(); // On relaye la session
if (session_is_registered("authentification")){ // vérification sur la session authentification (la session est elle enregistrée ?)
// ici les éventuelles actions en cas de réussite de la connexion
}
else {
header("Location:index.php?erreur=intru"); // redirection en cas d'echec
}
?>
5 avril 2009 à 18:37
Ben non, erreur:
Warning: main(connexion.php) [function.main]: failed to open stream: No such file or directory in /homez.57/xxxxx/xxxxx/fra/log0.php on line 1
Fatal error: main() [function.require]: Failed opening required 'connexion.php' (include_path='.:/usr/local/lib/php') in /homez.57/xxxxx/xxxxx/fra/log0.php on line 1
5 avril 2009 à 18:23
Quand on connait pas, c'est vrai que c'est pas clair du tout.
Donc dans la page a protéger, je doit mettre en haut le code php (comme dans accueil.php) jusqu'à la balise html.
Ensuite, je choisis le dernier code, puisque juste pour utilisateur, que je place au choix dans ma page.
Bon je fais l'essai.
5 avril 2009 à 18:11
Puis, aux endroits désirés sur tes pages, tu inclus les lignes d'affichage conditionnel, tout comme sur le modèle accueil.php
Il est vrai que pour les novices, ce n'est pas très bien expliqué...
Bon code
5 avril 2009 à 16:59
Bon pas de probleme d'installation.
Maintenant je met quoi dans les pages a protéger ???
30 mars 2009 à 16:16
30 mars 2009 à 16:11
Cette source m'interresse beaucoup, seulement, quand je vois les coms à propos des failles de sécurité, j'hésite...
Y aurait-il un bon codeur qui pourrait poster une version sécurisée de cette source qui, apparement, me semble très interressante pour le reste ?
Le cas échéant, au 30 mars 2009, quelle est la dernière version sécurisée et ou peut-elle être téléchargée.
Merci à tous
30 mars 2009 à 16:11
Cette source m'interresse beaucoup, seulement, quand je vois les coms à propos des failles de sécurité, j'hésite...
Y aurait-il un bon codeur qui pourrait poster une version sécurisée de cette source qui, apparement, me semble très interressante pour le reste ?
Le cas échéant, au 30 mars 2009, quelle est la dernière version sécurisée et ou peut-elle être téléchargée.
Merci à tous
30 mars 2009 à 16:11
Cette source m'interresse beaucoup, seulement, quand je vois les coms à propos des failles de sécurité, j'hésite...
Y aurait-il un bon codeur qui pourrait poster une version sécurisée de cette source qui, apparement, me semble très interressante pour le reste ?
Le cas échéant, au 30 mars 2009, quelle est la dernière version sécurisée et ou peut-elle être téléchargée.
Merci à tous
30 mars 2009 à 16:10
Cette source m'interresse beaucoup, seulement, quand je vois les coms à propos des failles de sécurité, j'hésite...
Y aurait-il un bon codeur qui pourrait poster une version sécurisée de cette source qui, apparement, me semble très interressante pour le reste ?
Le cas échéant, au 30 mars 2009, quelle est la dernière version sécurisée et ou peut-elle être téléchargée.
Merci à tous
24 déc. 2008 à 03:07
Je me pose une question d'ordre algorithmique...
Comment peut-on faire au mieux pour renvoyer le mot de passe perdu par un visiteur s'il est indécodable ?
Cette option est disponible sur tous les sites, même sur phpcs ;o)) J'ai vu plusieurs options...
Vous en pensez quoi ? Qu'est-ce qui vous semble le moins pénible pour l'utilisateur et le plus simple à gérer ? Difficile dilemme ;o))
A bientôt
26 sept. 2008 à 22:43
Merci Gmelle.
26 sept. 2008 à 13:25
25 sept. 2008 à 22:53
De mon côté je pense non car on le stocke seulement une fois hashé. Dans ce cas comment faire ? stocké le mot de passe non hashé autre part ?
25 sept. 2008 à 17:36
Votre mot de passe est "ee11cbb1543654313435454" (chiffré par MD5 > ne peut donc être vivible en clair).
visible au lieu de visible :D je chipote je sais lol mais par contre le script est super simple et efficace !!
encore un grand merci et chapeau !!!!!!!!!!!
25 sept. 2008 à 15:54
Beau boulot, et en plus c'est mis à jour;) J'adore.
8 juil. 2008 à 14:58
L'adresse du serveur et mort, je pense que c'est pour sa que sa ne marche pas.
23 mai 2008 à 15:11
http://www.borrat.net/sources.php
13 mai 2008 à 15:30
comment je pourrais m'authentifié cad avec quel login et motde passe
Nb:j'ai inséré un enregistrement à partir de phpmyadmin mais ça marche pas! ! !
21 avril 2008 à 13:47
C'est nul a lieu de pompé des scripts la vous les membres vous pouvez pas vous les faire !!! hein !!
C'est sa le php programmer c'est propre script !
Si on pompe tous sur d'autre site et pas il y a plus de plaisir !
8 avril 2008 à 18:07
cordialement
8 avril 2008 à 18:06
cordialement
18 mars 2008 à 14:48
et pour le critiqué je peux pas, parce ke jai pas encore fais comme ça ;)
21 févr. 2008 à 20:16
Une petite remarque, le mot de passe est transmis en clair sur le réseau, pour le vérifier utiliser un snifer, vous verrez, la variable login et pass en clair.
Ensuite il faut ajouter une variable au mot de passe du style timestamp ou autre, car une simple recherche dans une table Rainbow md5, vous donnera le mot correspondant au md5.
Pour palier au défaut du mot de passe en clair, ont peut utiliser le md5.js avec une fonction en javascript, du style :
Dans la page index.php
modif de la variable $pass = addslashes($_POST['pass']);
<script language="javascript" src="md5.js"></script>
<script language="javascript">
<!--
function cryptemd5pass() {
str = document.connect.pass.value;
document.connect.pass.value = hex_md5(str);
}
// -->
</script>
Login.......... :,
,
----
Mot de passe.......... :,
,
----
Pour le md5.js : http://pajhome.org.uk/crypt/md5/index.html
Pour les tables Rainbow : http://www.antsight.com/zsl/rainbowcrack/
Voilas pour ma contribution.
@plus
Sinon bravo pour la source !
7 févr. 2008 à 10:23
28 janv. 2008 à 23:26
28 janv. 2008 à 16:01
"J'ai juste une remarque à faire, le MD5 n'est pas un algorithme de cryptage mais "juste" une signature numérique de 32 bits. ;-)"
Le MD5 est un algorithme de chiffrement (Hash) irréversible sur 128bits.
@Moritus :
"quelle est la difference entre md5 et SHA ?"
MD5 et SHA sont tout les deux des algorithme de chiffrement (Hash) a l'instar des CRC et autres.
Ils permet de generer une clef plus ou moins unique d'une donnée quelquonque.
Si 1 bits (un 0 ou un 1) est different de la donnée chiffrée, la clef serat totalement differente et trés eloignée (pour eviter le cracking par deduction logique et mathematique).
Liste des hash disponible dans PHP :
MD 2,4,5 (128 bits)
SHA (160 / 192 / 224 / 256 / 384 / 512 bits)
HAVAL (128 / 160 / 192 / 224 / 256 bits)
RIPEMD (128 / 256 / 320 bits)
TIGER (128 / 160 / 192 bits)
WHIRLPOOL (512 bits)
GOST (512 bits)
SNEFRU (128 / 256 bits)
MD5 et SHA1 etant souvent utiliser pour la protection des mots de passes, on test d'abord ces deux la en cas d'attaque.
on peu donc utiliser un autre algo (Haval, Ripe, Tiger) pour rendre la tache plus difficile aux crackers.
On peu utiliser la fonction PHP mhash comme ceci :
$userpassword = mhash(MHASH_RIPEMD256, $_POST['userpassword']);
28 janv. 2008 à 10:24
10 janv. 2008 à 04:18
beau code propre (diferrent du miens LOL)
mais j'ai une petite question qui me trote dans la tete
quelle est la difference entre md5 et SHA
moi j'utilise SHA mais vous m'avez mis un doute
3 juil. 2007 à 17:47
Cependant, j'aimerais orienter les simples utilisateurs sur d'autres pages.
Quelqu'un peut-il m'aider sur le code à ajouter pour vérifier que la personne est bien connectée avant d'afficher les pages demandées ?? je ne connais pas php, et votre aide me serait très précieuse...!! Merci pour votre travail sur ce script !!
3 juil. 2007 à 16:27
Cependant, j'aimerais orienter les simples utilisateurs sur d'autres pages.
Quelqu'un peut-il m'aider sur le code à ajouter pour vérifier que la personne est bien connectée avant d'afficher les pages demandées ?? je ne connais pas php, et votre aide me serait très précieuse...!! Merci pour votre travail sur ce script !!
12 mai 2007 à 21:07
10/10
4 avril 2007 à 13:25
Mais je ne comprend pas comment on change le mot de pass et le login de l'administrateur c ca mon seul probleme autrement dit je veux supprimer toto et mdp comment faire
23 févr. 2007 à 22:46
je viens d'installer ce code sur mon site internet.
J'ai rempli la page connexion, mais quant j'arrive sur la page index je rentre mon login et mot de passe, et un message d'erreur comme quoi mon login ou mot de passe n'est pas autorisé Alors que je les ai rentré.
Est-ce que vous voyez une solution?
Meerci d'avance
5 févr. 2007 à 00:51
Merci a tous pour ce script
Mais une question me trotte
Est it possible de mettre ce script sur Microsoft SQL Serveur ?
Merci d'avance
//Bkdenice
31 janv. 2007 à 21:36
une fois de plus 10/10 pour le script
29 janv. 2007 à 11:56
Merci pour votre aide... Pour la note ca merite bien un 10/10 bravo pour ce boulot formidable
25 janv. 2007 à 16:38
note 10/10
@++
25 janv. 2007 à 03:10
y'a t'il encore des failles connues sur le script ou ont t'elles été corrigées ?
est tu en train de bosser sur une V2 ?
si oui as tu besoin d'un coup de main ?
@++
23 janv. 2007 à 22:10
Bravo, et merci pour ta grande contribution qui permet à des auto didactes comme moi d'avancer.
note 10/10
17 janv. 2007 à 12:18
Je vais tenter inover: Pédagogiquement utile...
;-) @ plus
8 nov. 2006 à 21:37
Cependant, car il y a tjs un cependant... J'suis en train de faire un site qui nécessite 5 statuts, qui auront la possibilité de mettre à jour séparément des pages de news (nouvelles dates de réunion pr les mouvements de jeunesse). J'ai réussi à créer de nouveau statut, seulement je n'arrive à faire la redirection comme indiquée :
> Dans la zone d'affichage admin :
header("Location:URL SI USER SIMPLE") <==
J'avoue que je ne vois pas trop où est cette partie d'affichage admin, je cherche, je teste mais ne trouve pas et demande donc votre aide! :)
A ce propos, est-ce que je peux, pr ma page d'ajout de News, mettre les valeurs de la table dans l'url et la reprendre comme variable (mapage.php?mabase=user1 par exemple)? Est-ce que le risque est grand de se faire hacker (vu que cette partie est déjà protégée par mdp)? Et si oui, comment s'en protéger? A moins tt simplement que le langage SQL n'accepte pas le php (ex : mysql_query('SELECT * FROM <?php echo $mabase; ?> WHERE id=' . $_GET['modifier_news']); )
Ne me fustiger pas si j'avance ici des âneries phénoménales... J'apprends! Peut-être grâce à vous!
Merci d'avance!
1 nov. 2006 à 15:34
1 nov. 2006 à 15:34
20 juil. 2006 à 12:57
merci beaucoup
10/10
30 juin 2006 à 09:29
mon erreur sous firefox:
Echec d'authentification !!! > Aucune session n'est ouverte ou vous n'avez pas les droits pour afficher cette page
je suis héberger chez 1&1, j'ai créé un repertoire sessions, j'ai bien inséré les données SQL, tout marche parfaitement sous internet explorer alors que sous firefox sa bug. si toutefois quelqu'un a eu le même soucis sa serait simpa s'il puisse m'aider.
Merci d'avance.
29 juin 2006 à 15:50
20/20
18 juin 2006 à 21:29
14 juin 2006 à 16:40
25 mai 2006 à 21:23
15 mai 2006 à 14:50
Je te remercie pour la source. je galère grave pour trouver un code simple et l'adapter...
Je test ça cet aprèm et je te mettrai une note demain.
@++
Mortalino
6 mai 2006 à 17:56
Juste avant d'entrer dans l'asile du coin.........
J'ai tout suivi comme il faut,créé un compte admin,virer toto,etc...ok.
Comme rien n'est indiqué dans lisez-moi,j'ai mis ces lignes trouvée ici, en début de la page ou je désire l'espace membre:
<?php
session_start();
if (session_is_registered("authentification"))
?>
Ensuite,pour vérifier,je me suis déconnecté,ben je rentre toujours sur cette page.
Comment faire pour verifier ce que verra l'invité en arrivant sur cette page?
7 avril 2006 à 11:43
29 mars 2006 à 11:23
29 mars 2006 à 10:27
A moins de garder les mots de passe en clair ou d'utiliser un algo réversible.
Mais par contre tu peux très bien regénérer un nouveau ot de passe et lui envoyer un mail pour lui donner...
29 mars 2006 à 01:13
Premièrement bravo et top bien ce scripte.
J'ai une quetsion quand mème, si une personne me dit "msieu, je peux ravoir mon mot de passe je le sais plus", je fais quoi ?
y a t'il moyen de lui redonné ?
Merci d'avance
28 mars 2006 à 20:10
Merci @plus
28 mars 2006 à 19:09
mais j'ai trouvé les raisons de mes problèmes !!
mon problème pour le changement du mot de passe était dû à ma requête UPDATE qui était mal rédigée (mélange de INSERT et de UPDATE)
Pour le problème des fichiers placés dans des sous-dossiers, il ne s'agissait que de la position du script de vérification et d'authentification
session_start(); // On relaye la session
if (session_is_registered("authentification"))
qui doit absolument se trouver en début de page (avant les premières balises HTML)
En espérant que cela éclairera un peu la lanterne d'autre webmasters débutants comme moi.
Encore une fois grand merci à Mavounet pour ses scripts fort utiles et très bien documentés
28 mars 2006 à 01:06
quelques petits soucis je n'arive pas à restreindre l'accès à des pages se trouvant dans des répertoires en dessous, message d'erreur au début et affichage des pages sans authentification !!
J'ai essayé de développé une page pour la modification du mot de passe par l'utilisateur, mais impossible !Je ne voulais que l'écraser, mais cela ne fonctionne pas
if(isset($_POST['pass2'])){
if($_POST['pass1'] == $_POST['pass2']){
$passf = md5($_POST['pass1']);
// on fait l'INSERT dans la base de données
$add_user = sprintf("UPDATE utilisateurs (pass) VALUES ('$passf')");
mysql_select_db($database_dbprotect, $dbprotect);
$result = mysql_query($add_user, $dbprotect) or die(mysql_error());
header("Location:change_mdp.php?upd=ok");
}
else{
header("Location:change_mdp.php?erreur=pass");
}
}
Cela me renvoie le message suivant
Something is wrong in your syntax près de '(pass) VALUES ('01cfcd4f6b8770febfb40cb906715822')' à la ligne 1
la ligne 1 contient <?php require_once('connexion.php'); ?>
Merci de l'aide a tous les gentils lecteurs
19 févr. 2006 à 02:02
Notice: A session had already been started - ignoring session_start() in c:\program files\easyphp1-8\www\applicationhm\RecherchePd.php on line 3
trouve moi une solution svp, et merci
19 févr. 2006 à 01:59
Notice: A session had already been started - ignoring session_start() in c:\program files\easyphp1-8\www\applicationhm\RecherchePd.php on line 3
est ce que tu as une solution , repond vite , et merci
3 févr. 2006 à 21:20
if(! empty ($URL)) { //Si l'URL n'est pas vide
list($chaine1,$chaine2)=explode('=',$URL);
if (file_exists($chaine2. ".php")) //Si ce fichier existe
{ include($chaine2. ".php"); } //On l'ouvre
else {//Par contre si il ne trouve pas l'URL
switch ($chaine2){ //C'est que c'est une otre page à ouvrir
case "Connection";
include ('Admin\Connection.php');
break;}
} }
else{
include ("Index1.php");}?>
Et en fait je comprend pas ca me marque:
Warning: session_start(): Cannot send session cookie - headers already sent by (output started at e:\mes documents\ludo\mysiteweb\index.php:3) in e:\mes documents\ludo\mysiteweb\Admin\Connection.php on line 3
Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at e:\mes documents\ludo\mysiteweb\index.php:3) in e:\mes documents\ludo\mysiteweb\Admin\Connection.php on line 3
Merci pour votre aide ca fait maintenant 2 jours ke je cherche le pb mais je trouve pô, merci!!!!!!!!
1 févr. 2006 à 21:57
10 janv. 2006 à 10:08
Un admin m'a déjà reproché sur ce site des notes non méritées pour une nouvelle source que je souhaitais poster. Je crois qu'avec les commentaires que tu viens de faire les soupçons ne vont pas cesser :s. Merci d'envoyer ce genre de messages en privé et d'utiliser cet espace pour des critiques ou questions. J'y répondrai volontier. Merci quand même :)
10 janv. 2006 à 10:02
10 janv. 2006 à 10:00
Quant à tes posts sur la sécurité (https & Co.) je confirme ce que tu dis, tu expliques bien, j'y vois d'ailleurs plus clair !
Bonne continuation !
2 janv. 2006 à 20:04
L'upload de sources ne marchant pas ce soir (peut-être que la mienne est trop lourde), je poste une nouvelle source ici :
CMS écrit pour les utilisateurs de Dreamweaver qui vous permettra de mettre en oeuvre rapidement un site dynamique et complet sur un framework facilement évolutif.
Gestion simple des contenus et mise en forme facile de votre interface.
- Affichage de contenus dynamiques (rubriques, sous-rubriques) en WYSIWYG
- News
- Gestion simple du rubriquage et des contenus
- Paramétrages généraux du site (Edito, pied de page, mots clés, titre etc.)
- Gestion des news
- Outils d'administration (stats, admin BDD, Gestion des utilisateurs)
- Une page sample de contact pour envoyer des emails à l'aide d'un formulaire
Téléchargement :
http://www.borrat.net/sources.php
J'attends vos contribs et remarques par email ou messages privés (pas ici, ce n'est pas l'objet de la discussion).
Bon PHP à tous.
22 déc. 2005 à 21:43
pour PhpMyAdmin, quels fichiers dois je copier? comment et où?
parce que je ne m'y connais rien et après le troisième efferalgan, je te redemande de l'aide !!! lol
merci d'avance !!
22 déc. 2005 à 21:10
22 déc. 2005 à 14:51
22 déc. 2005 à 14:31
Après, PhpMyadmin chez 1and1 je ne peux pas t'aider, je n'ai pas essayé cet hébergeur qui fait parler de lui en ce moment avec son offre bizarre. Tu peux certainement l'installer sur ton serveur en copiant les fichirs et en éditant le fichier de conf avec tes paramètres de connexion. Mais attention à la sécurité... Bon courage :)
22 déc. 2005 à 14:05
"Fatal error: Lost connection to MySQL server during query in /homepages/31/d125492146/htdocs/admin/connexion.php on line 13".
et d'ailleur comen utiliser phpmyadmin pour mon serveur ?
Je vous remerci d'avance !!!
17 déc. 2005 à 23:20
17 déc. 2005 à 23:15
Il n'empeche que ta source reste "bordelique" et illisible. Et c'est SA que je te reproche. Tellement illisible que je n'ai eu d'autre choix que de tout recoder d'un facon P-R-O-P-R-E.
L'indentation c'est pas bien dure quand même! C'est comme les {}. Tu prefere mettre 5 echo sur la meme ligne plustot que de mettre deux malheureuse guillements... (exemple repris de ton code.)
Donc, OUI ma contribution est utile car si tu code comme un manche alors personne ne lis ton code et donc personne n'apprend réellement. Ils utilisent ton code sans savoir ce qu'il y a derrière...
17 déc. 2005 à 23:08
Merci Shibo pour ta contribution UTILE.
17 déc. 2005 à 22:49
Franchement, c'est foot codé. Aucune indentation, les if/else sans {}(super pas conseillé), des <??> partout ce qui rend le code illisible....
J'ai dl ton script pour l'utiliser, 2h plus tard j'ai fini de recoder tout ton script d'une façon PROPRE. Rhalala, sa ne sert a rien de poster des script inutilisable ou/et illisible.
30 sept. 2005 à 19:48
Ca y est, G réglé le bleme, j'avai oublié le "s" à sessions.
Dsl pour les trois mesage identiques que j'ai envoyé mais mon ordi plantai.
Tout fonctionne a merveille ! 10/10 la source !
Merci
30 sept. 2005 à 19:37
Tout d'abort je voulai dire merci pour cette superbe source mais j'ai quelques problemes, plusieurs messages s'affiche :
Warning: session_start(): open(/var/www/free.fr/5/e/spyblog/sessions/sess_b18bb8e9e67a50b3ce9b268e22e3df1c, O_RDWR) failed: No such file or directory (2) in /var/www/free.fr/5/e/spyblog/PASS/index.php on line 10
Warning: session_start(): Cannot send session cookie - headers already sent by (output started at /var/www/free.fr/5/e/spyblog/PASS/index.php:10) in /var/www/free.fr/5/e/spyblog/PASS/index.php on line 10
Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at /var/www/free.fr/5/e/spyblog/PASS/index.php:10) in /var/www/free.fr/5/e/spyblog/PASS/index.php on line 10
Warning: Unknown(): open(/var/www/free.fr/5/e/spyblog/sessions/sess_b18bb8e9e67a50b3ce9b268e22e3df1c, O_RDWR) failed: No such file or directory (2) in Unknown on line 0
Warning: Unknown(): Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/var/www/free.fr/5/e/spyblog/sessions) in Unknown on line 0
Si vous pouviez me dire comment résoudre ces erreur !
Merci d'avance.
27 sept. 2005 à 10:39
27 sept. 2005 à 01:08
26 sept. 2005 à 20:26
26 sept. 2005 à 13:38
Rien ne t'empêche d'installer HTTPS sur ton serveur apache... et d'utiliser tous les scripts que tu souhaite pour sécuriser tes pages.
Pour se faire, il te faut apache mod_ssl. Ensuite, il te falloir créer un certificat ou en obtenir un auprès d'une entité de certification. (exemple : verisign). Tu peux en générer par exemple pour tester en local avec OpenSSL (soft télécheargeable gratuitement) . Je n'en ai plus en tête, mais il existe de très bon tutoriaux à ce sujet sur le web pour la génération de clés et certificats.
Après celà, il est possible d'affiner la sécurité de ton serveur afin d'empêcher par exemple les connections http et de forcer le https.
Tout se fait au cas par cas. La sécurité d'un serveur web dépendra non seulement de ses scipts, mais également de sa bonne configuration et enfin et surtout de la clairvoyance de son administrateur (toi). En effet, les plus grosses failles de sécurité sont humaines et la plupart des intrusions se font grâce à l'abus de confiance.
Pour sécuriser mon site, je commencerai donc par m'intéresser aux fonctions php, puis à mon php.ini, puis mon httpd.conf. SSL étant la cerise ;) mais qui ne sert à rien sans les tois étapes précédentes.
Petit PS : merci à ceux qui répondent aux questions lorque je n'en ai pas le temps, et à vous tous qui utilisez mon script.
26 sept. 2005 à 12:07
26 sept. 2005 à 11:39
26 sept. 2005 à 11:31
va voir sur cette page :
http://support.free.fr/web/php/php4.html
"important : Pour que vos sessions 'fichiers' (mode par défaut) fonctionnent, vous devez créer un répertoire "sessions" (en minuscules sans les guillemets) à la racine de votre site Web (ou du cas échéant, de votre site Web secondaire). Sinon un message d'erreur vous signalant l'impossibilite de sauvegarder les sessions apparaitra."
26 sept. 2005 à 11:29
26 sept. 2005 à 10:14
25 sept. 2005 à 18:20
"Warning: session_start(): open(/var/www/free.fr/a/e/bingomagot/sessions/sess_bd29d5c50aaa93ca6d9d8a19d47f7854, O_RDWR) failed: No such file or directory (2) in /var/www/free.fr/a/e/bingomagot/Admin/index.php on line 10
Warning: session_start(): Cannot send session cookie - headers already sent by (output started at /var/www/free.fr/a/e/bingomagot/Admin/index.php:10) in /var/www/free.fr/a/e/bingomagot/Admin/index.php on line 10
Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at /var/www/free.fr/a/e/bingomagot/Admin/index.php:10) in /var/www/free.fr/a/e/bingomagot/Admin/index.php on line 10
j'ai beau chercher mai je ne sais pô d'ou el vient, merci de m'aider please
3 sept. 2005 à 02:48
Félicitations et merci à Mavounet, excellent code que la V1.2, utilisable quasi-tel quel et très bonne base pour ceux qui ont des notions de PHP et veulent perfectionner le truc. Le word joint contient une explication très détaillée de tout. Téléchargez !
Il faudrait effectivement mettre " if (isset($_SESSION['authentification'])) " comme dit dans le message du dessus. La fonction est moins gourmande que session_is_registred je crois.
Pour faire avancer les choses :
Que ceux qui ont des problèmes déconnexion après avoir saisi un utilisateur s'évitent des galères en lisant ceci (j'ai détaillé pour les plus newbee que moi, c'est peut-être un peu long, mais vous devriez gagner du temps quand même)
pourquoi ça déconnecte :
Le serveur se mélange les bretelles car la variable de session $_SESSION['privilege'] porte le même nom que celle transmise en post quand on valide le formulaire d'ajout d'utilisateur simple (qui envoie $_POST['privilege']="user" ). $_SESSION['privilege'] prend alors, furtivement, la valeur "user" au lieu de sa valeure initiale : "admin". Vous n'êtes plus loggé en "admin" et logiquement déconnecté.
Il en est de même pour les variables 'prenom' et 'nom' ou toute variable standard qui porterait le même nom qu'une de session (vérifiez si votre prénom/nom est devenu celui de l'utilisateur que vous venez de saisir quand vous retournez sur la page d'accueil).
une solution sûre :
Changer le nom des variables que vous envoyez en post pour qu'ils ne soient pas les mêmes que ceux des variables de session. Dans le formulaire, renommez comme vous voulez les champs de saisie 'privilege', 'nom', 'login'... Ensuite, quand vous les récupérez et les injectez dans la base de donnée, adaptez le nom des variables en conséquence.
Voila un extrait du fichier admin.php modifié (login est devenu loginf, pass=>passf ...simple mais efficace). Il y a quelques autres modifs dans l'extrait mais qui n'ont pas de rapport avec notre soucis) :
(...)
if(($_POST['loginf'] == "") || ($_POST['passf'] == "")){ // si login ou mot de passe non spécifiés >> message d'erreur
header("Location:admin.php?erreur=empty");
}
else if($_POST['passf'] == $_POST['pass2f']){ // vérifie si le mot de passe et le mot de passe confirmé ont la même valeur
// passe toutes les variables $POST en variables
$loginf = addslashes($_POST['loginf']);
$passf = md5($_POST['passf']); // ici, crypte le mot de passe MD5 (j'aime MD5!)
$nomf = addslashes($_POST['nomf']);
$prenomf = addslashes($_POST['prenomf']);
$privilegef = $_POST['privilegef'];
$societef = addslashes($_POST['societef']);
$courrielf = $_POST['courrielf'];
$dateinscr=date("Y-m-d");
// INSERT dans la base de données
$add_user = sprintf("INSERT INTO utilisateurs (login, pass, nom, prenom, privilege, societe, courriel,dateinscr) VALUES ('".$loginf."', '".$passf."', '".$nomf."', '".$prenomf."', '".$privilegef."','".$societef."','".$courrielf."','".$dateinscrf."')");
mysql_select_db($database_dbprotect, $dbprotect);
$result = mysql_query($add_user, $dbprotect) or die(mysql_error());
header("Location:admin.php?add=ok"); // redirection si création réussie
}
solution alternative ?
Je pense que c'est à cause de l'option REGISTER_GLOBALS sur "on" dans le php.ini du serveur que ça se produit. En le tournant sur "off" (si vous y avez accès) vous devriez éliminer le problème sans rien toucher au code. J'a pas essayé, mais avec la solution du dessus, le module devrait marcher quel que soit le réglage de REGISTER_GLOBAL.
A confirmer.
long post mais j'éspère utile post.
merci aux codeurs partageurs qui nous ont à tous beaucoup appris. Ne leur en veuillez pas de ne pas fournir un produit fini, on n'apprend rien si tout est déjà fait.
bye.
1 sept. 2005 à 13:54
J'ai regarder un peu la nouvelle version de ton script et j'ai remarqué une petite chose dans accueil.php :
Ne faudrait-il pas mettre ceci : if (isset($_SESSION['authentification']))
à la place de ceci : if (session_is_registered("authentification"))
à la ligne 11 ?
Voilà sinon ça à l'air pas mal du tout bravo :)
1 juil. 2005 à 09:55
>> + de sécurité et plus de documentation
Bon php à tous !
1 juil. 2005 à 08:39
merci
30 juin 2005 à 19:58
encore moi apres avoir regarder ton code dans tous les sens il y a quelques chose que je comprend pas
comment faire une REDIRECTION EN FONCTION DU PRIVILEGE j'ai pas tous compris ? et malgre l'aide et le nombre de mes essaie je n'y arrive toujours pas :<
merci de ta reponse
29 mai 2005 à 20:17
C'est vrai que ça craint un peu cette histoire de login générique. Personnellement ça m'ira tout de même.
J'ai passé quelques heures à chercher un scipt d'authentification. Je n'y connais pas grand chose en php et je cherchais un script simple et efficace; assez difficile à trouver en fait. Et là je tombe sur ce script, super simple à installer, super bien expliqué, et super facile à exploiter pour un site. Merci Mavounet.
26 avril 2005 à 09:44
C'est juste pour te dire qu'il y a une faille dans ton code notament au niveau de la saisie du mot de passe. Avec ta requete il suffit d'entrer un login valide sans le mot de passe pour entrer. Ta requete est ainsi:
SELECT * FROM utilisateurs WHERE login='$login' AND pass='$pass' . Si je mets comme login quelque chose du genre toto ' # ta requete va ignorer ce qu'il y a apres le dieze et du coup plus besoin de pass pr tous les privilèges!
20 avril 2005 à 18:30
Sinon bon script qui mérite l'attention. J'ai quand même du rajouter pas mal de choses pour arriver à un résultat qui me convenait (page profil pour chaque utilisateur afin de pouvoir modifier son mot de passe et compagnie, page que pour les admins pour modifier un utilisateur, etc, etc.). Je ne savais pas que la faille qu'à dite emilia123 existait alors j'ai testé et c'est vrai. En rentrant ' or 1=1 or 1=' on est directement connecté en tant qu'admin... Je le teste en local donc peut-être que sur l'hébergeur ce problème n'existe pas je ne sais pas. En tout cas, essaye d'arranger ça dans ta version 2 si tu peux !! Et tant qu'à faire, fais comme moi, rajoute une page profil etc... ca évitera de se le faire soi-même ;)
Encore merci pour ce script !
13 avril 2005 à 23:10
11 avril 2005 à 12:18
c encore moi comme nitrox 13 j'ai le meme probleme
lorque on creer un utilisateur il me mais la meme erreur que nitrox 13 mais l'utilisateur est creer peu tu nous eclairer ?
merci de ton aide
9 avril 2005 à 11:11
merci pour ton code qui est bien lisible par endroit(expression trop technique par moment) pour un newbees comme moi
une petite remarque pour sont evolution :
seul l'admin peu creer un utilisateur !!
il n'y a pas de page pour s'enregistrer si l'on est un simple visiteur pourquoi ?
6 avril 2005 à 01:25
J'ai un pb, lorsque je crée un utilisateur avec le privilége utilisateur, je retombe sur la page index.php avec le message suivant :
Echec d'authentification !!! > Aucune session n'est ouverte ou vous n'avez pas les droits pour afficher cette page (l'utilisateur est quand meme crée).
Si je crée le meme utilisateur avec le privilége admin, aucun pb.
16 févr. 2005 à 10:47
C'est pourquoi ça serai cool si c'était en XHTML.
Mais sinon, c'est TROP COOL !!!
23 janv. 2005 à 19:17
J'ai apporté quelques petites modification pour mieux adapter à mon problème personnel, mais c'est vraiment un très bon script bien expliqué.
En ce qui concerne la sécurité... je ne garde le mot de passe en clair que pour le login lui-même, après je le garde sous la forme md5.
Comme mon site ne brasse pas d'argent... je pense que les crackers trouveront plus inytéressant à craquer.
23 janv. 2005 à 18:29
J'ai téléchargé ce script il y a quelques temps parce que rien ne sert de réinventer la roue... Et il fonctionne très bien, simple et clair à comprendre !
Merci à son auteur.
14 déc. 2004 à 23:18
Je suis un gros noob en prog, ms j'aimerais corriger la "faille" de sécurité mise en avant par revinc et emilia123, cad avec le htmlentities.
Justement, est-ce que vous pourriez me dire où on les met exactement, pke j'ai essayé à pas mal d'endroits...sans résultat. Un vrai noob quoi ;)
30 nov. 2004 à 00:51
j'ai cette erreur :
Warning: mysql_pconnect() [function.mysql-pconnect]: Access denied for user: 'root@212.27.35.102' (Using password: NO) in connexion.php on line 7
Fatal error: Access denied for user: 'root@212.27.35.102' (Using password: NO) in connexion.php on line 7
mon server d'hebergement est online.
Merci de m'aider
27 nov. 2004 à 15:34
C'est ce que je chercher !!
9/10 (même si c'est le meilleur CS que j'ai trouvé !!!)
PS : Faut pas oublier de dire (pour ceux qui ne savent pas) de creer un dossier 'sessions' sous les serveur de free ;)
9 nov. 2004 à 10:58
voila j'ai utilisé ton code , et j'ai c'est 2 erreurs ,tu peut m'aider pour les corriger stp
Warning: session_start(): Cannot send session cookie - headers already sent by (output started at C:\Program Files\Apache Group\Apache2
Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at C:\Program Files\Apache Group\Apache2\htdocs\servitudes\index.php:2) in C:\Program Files\Apache Group\Apache2\htdocs\servitudes\index.php on line 10
29 oct. 2004 à 16:16
J ai quand meme une petite question:
c est peut etre bete mais comment redonner le password a un utilisateur qui ne s en souviendrait plus???
23 oct. 2004 à 16:21
23 oct. 2004 à 16:19
20 oct. 2004 à 23:11
je trouve le script pas mal mais par contre je souhaite creer une direction differente au niveau des utilisateurs car selon la personne je souhaite mettre des choses differents (document etc...)
merci
29 sept. 2004 à 14:01
22 sept. 2004 à 23:45
Je viens d'installer ce script sur mon site ( en local pour le moment ) et ca marche po !!! ( j ai jamais de chance moi ... )
Lorsque j arrive sur la page de log, j entre les infos comme dit dans le fichier Lisez-moi.htm c'est a dire login : "toto" et mot de passe : "mdp".
Lors de la validation j ai l erreur :
Echec d'authentification !!! > Aucune session n'est ouverte ou vous n'avez pas les droits pour afficher cette page
J ai bien mes tables de créées, j'utilise easyphp 1.7 avec comme seule modif au niveau du php.ini
> error_reporting E_NOTICE
d'autre part tous mes script php marche sauf ceux avec lesquels il y a des sessions !!!
Je ne vois pas de ou le probleme peut venir sauf si ce n'est de mon firewall !!! Est-ce possible ? Si oui qu elle est le service ou programme a laisser passer ?
Ensuite pour en etre sur j aimerai savoir ou sont stockés les fichiers session sur un serveur tel que easyphp 1.7
Merci d'avance pour vos reponses...
Bye ;-)
15 sept. 2004 à 16:38
merci!
pour les injections de sql... vous êtes un peu parano il me semble. Les 3/4 des hébergeurs sont sécurisés contre ces attaques. Mais il y en a toujours à la rue évidemment!
31 août 2004 à 15:38
La solution? Penser à désactiver ZoneAlarm qui en fait bloquait le processus...
24 août 2004 à 11:24
la requette : "SELECT * FROM utilisateurs WHERE login='$login' AND pass='$pass'"
Si dans le formulaire pour le login on rentre :
' or 1=1 or 1='
(ne pas oublier les simples cotes au début et fin).
cela donne :
SELECT * FROM utilisateurs WHERE login='' or 1=1 or 1='' AND pass='$pass'
quelque soit le mot de passe rentré 1=1 est toujours vrai donc on passe le test de l'utilisateur correspondant...et hop on est connecté.
Il faut proteger les valeurs passées au requettes.. en supprimant les ' (simple cotes), les % (caractères joker), etc etc. par un petit HTMLentities
quite a hasher aussi le login pour etre sur..
voila c'est tout.
biz à tous
31 juil. 2004 à 03:56
j'avoue ce code est magnéfique cependant je souhaite savoir comment creer une redirection pour chaque utilisateur
et si possible de le faire en rajoutant dans le formulaire "creation de compte" une saisie
merci
28 juil. 2004 à 13:51
Moi il ne me servira pas mais je pense que sa devrais suffir pour un pote qui developpe son site perso.
Enfin si non super bien expliqué. Magnifique
mais comme aucain script n'est parfait je dis 9/10
22 juil. 2004 à 20:38
Je parle en connaissance de cause.
23 juin 2004 à 12:59
Une injection SQL dans le fichier index.php permettrait quel hacker de pénétrer dans ton système (si la directive de configuration magic_quotes_gpc est à 0 sur ton serveur, ce qui est fort probable) :
$verif_query=sprintf("SELECT * FROM utilisateurs WHERE login='$login' AND pass='$pass'"); // requête sur la base administrateurs
Essaye de rechercher plus dinfos sur les injections sur le net.
21 juin 2004 à 22:16
21 juin 2004 à 15:28
Bon code juste ça :
if (session_is_registered("authentification")) devient if (isset($_SESSION['authentification']))
Qu'il faut changer le code original pour mettre cela a la place?
Beau travail 10/10
17 juin 2004 à 19:14
17 juin 2004 à 17:48
if (session_is_registered("authentification")) devient if (isset($_SESSION['authentification']))
26 mai 2004 à 06:48
en aucun cas tu vois une ligne de php, car il est interprété côté serveur.
;) +
25 mai 2004 à 22:31
view-source:http://adresse_de_ton_site/repertoire/accueil.php
on arrive au code source de la page d'acceuil donc au reste du site!!!
Si quelqu'un a une explication, en tout cas bravo, c'est pas pour critiquer car je suis incapable de faire 1% du travail que tu as fais, c'était juste pour faire avancer le chmilblik...
hasta luego
20 mai 2004 à 19:53
11 mai 2004 à 08:31
Bien commenté !
Facilement adaptable !
Bref ... Superbe boulot !
;-)
10 mai 2004 à 23:58
10 mai 2004 à 17:19
10 mai 2004 à 07:58
7 mai 2004 à 01:11
Mais c'est affligeant de voir des internautes qui cryptent tout et n'importe quoi avec la fonction MD5 alors qu'une simple recherche sur gogol leur apprendrait une bonne fois pour toute qu'il s'agit d'une signature numérique (Hash, pour les francophobes :p) et donc que la donnée ne s'y trouve nullement.
Ceci-dit, si t'as recontré des poypoy essayant de retrouver un mot de passe à partir du MD5..faut qu'ils m'expliquent et je leur souhaitent de bonnes nuits blanches :p
Encore bravo pour ton script Mavounet...moi faut que j'aille faire dodo.
Inekman.
6 mai 2004 à 20:55
>> le message ou la chaîne de caractère n'est pas contenue dans une chaine de type "4b868ty444401ez56 ...".
Je te donne donc entièrement raison et rajouterai pour ceux qui voudraient jouer les apprentis hacker'z (sisi j'en ai vu sur ce site ;) : une chaîne cryptée par md5 ne se décode pas, il est juste possible de vérifier son authenticité par comparaison des empreintes.
Bien le bonsoir à toi Inekman!
MaV-
6 mai 2004 à 20:03
J'ai juste une remarque à faire, le MD5 n'est pas un algorithme de cryptage mais "juste" une signature numérique de 32 bits. ;-)
Inekman.
5 mai 2004 à 20:26
// ligne 15 du fichier index.php et ligne 28 du fichier admin.php ...
$pass = md5($_POST['pass']);
// ... à transformer en
$pass = $_POST['pass'];
Voilà, maintenant, pour espérer te rconnecter, remet le mot de passe d'au moins 1 administrateur en clair dans la base (à l'aide de PhpMyadmin par exemple) et reconnecte toi pour gérer tes utilisateurs.
N'oubli surtout pas de remettre en clair le mot de passe du compte de base par exemple (login: toto, pass: mdp), car il est crypté dans la base.
Tu as du faire un oubli, je viens de tester, j'ai pas réussi à me tromper ;)
++
5 mai 2004 à 19:58
merci
a part ca super ton script
5 mai 2004 à 18:56
VRAIMENT ! Après avoir cherché et cherché encore un script simple proposant une sécurisation de bon niveau pour mes pages, je dis BRAVO mavounet !!!
Franchement, pas de problèmes lors de l'installation, c'est simple et bien expliqué.
En plus, je l'ai paramétré pour mon site très facilement, car ce script se résume en fait en deux parties (un script de connexion + un script de protection)
1 partie dans mon formulaire d'authentification, l'autre partie à copier dans toutes mes pages à protéger et le tour est joué !
Bonne continuation
++ Hurri
PS : mysql + sessions + cryptage md5 + code simple = 10/10 et un gros MERCI !!!
5 mai 2004 à 16:03