GESTIONNAIRE D'UTILISATEURS POUR SITE WEB
DJ_BoOmEr
Messages postés
22
Date d'inscription
vendredi 3 mars 2006
Statut
Membre
Dernière intervention
30 août 2007
-
30 avril 2006 à 11:06
cebelab Messages postés 31 Date d'inscription dimanche 25 mars 2007 Statut Membre Dernière intervention 1 février 2009 - 1 mai 2008 à 23:56
cebelab Messages postés 31 Date d'inscription dimanche 25 mars 2007 Statut Membre Dernière intervention 1 février 2009 - 1 mai 2008 à 23:56
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/37332-gestionnaire-d-utilisateurs-pour-site-web
https://codes-sources.commentcamarche.net/source/37332-gestionnaire-d-utilisateurs-pour-site-web
1 mai 2008 à 23:56
Merci pour ton code, c'est exactement ce que je cherchais
Je suis débutant en PHP et ca fera une très bonne base pour développer un petit site en apprenant le language
De plus je remercie les utilisateurs du réseau CS qui t'ont aidé à optimiser ton code car je bénéficie aussi de leurs commentaires.
@+
23 avril 2007 à 17:55
mais est ce que l'admin peut ajouter des membres mais leur definir un staut : modo visiteur , client, fournisseur ou autres se sont des exemples !!!
Merci
23 avril 2007 à 17:46
mais est ce que l'admin peut ajouter des membres mais leur definir un staut : modo visiteur , client, fournisseur ou autres se sont des exemples !!!
Merci
23 avril 2007 à 17:44
mais est ce que l'admin peut ajouter des membres mais leur definir un staut : modo visiteur , client, fournisseur ou autres se sont des exemples !!!
Merci
1 déc. 2006 à 16:19
@ tchaOo°
1 déc. 2006 à 11:26
je me suis amusé à lire tout vos commentaires.
franchement sa me fais délirer des fois comment vous parlez.
a titre info,pour se qu'ils veulent vraiment faire des codes sources,il y existe des bahu expret.
c'est pas une honte d'y aller.j'ai 25 ans et je fais des études en developpement de logiciels.
quand vous dites que vous etes la pour vous aider,je dirai plutot que vous etes entrain de vous démonter.
bon.c'est tout se que j'avais à dire.je vais pas aider sur se que vous faites parce que je suis au niveau de développement de service d'exploitation.(style windows ou linux).
mais un conseil,pour vos codes sources.je sais pas si vous faites sa à la va vite sur votre pc,mais avant de faire sa,prennez une feuille et un stylo et grater sur papier la structure de votre code.
sa ira mieux.
donc voila.
peut etre à une prochaine.mais j'en doute parce que je suis simplement de passage sur se site.
bye et bon courage pour le reste.
21 sept. 2006 à 19:53
20 sept. 2006 à 13:19
Je voulais juste te dire bravo pour ton script, il est assez explicite et fonctionne bien.
Donc merci.
1 juil. 2006 à 19:43
Bon désolé d'avoire mis au temps de temps mais là je me remet à la programmation (oui en fait je me suis pris une chose de 3 lettres que les étudients se prennent à cette époque de l'année, c'est les 3 premières lettre de l'alphabet mais dans le mauvais ordre... :s )
Donc voilà, j'en ai profité pour terminer de lire les tuto de php et c'est vrai que maintenant je comprend un peu mieux la concaténation, les problèmes de sécurité et tout...
En tout cas merci de vos aides ! Ca fait plaisire !!
Allez à bientôt avec la nouvelle source !
Salut !
HasH
4 mai 2006 à 18:12
@ tchaOo°
2 mai 2006 à 22:07
Merci Kankrelune ! Tu m'aura appris pleins de choses !! J'avais presque réécrit mon code mais pour finire avec ce que tu me dis je vais encore le repenser.
En effets, pour le fait que l'utilisateur ait à se reconnecter à chaque fois c'est une faille dont je voulais vous demander comment la contourner. Maintenant je sais que je dois chercher dans les autres sources de ce site !:)
Sinon je vais régler tous ces echo, la connections etc... Mais je n'ais pas bien compris le truc de filtrer: "Il serait bien de toujours contrôler (fonctions is_*) et filtrer" ??
voilà après je pense que mon code aura atteint un petit meilleur niveau :)
Bon allez je retourne au boulot :D
Merci encore à tous !
2 mai 2006 à 18:27
2 mai 2006 à 18:24
@ tchaOo°
2 mai 2006 à 18:00
Quand a ce que je disais a ScripteurPermanent sur le truc d'Amin, éffectivement tu peut mettre un CHMOD 700 rien que sur ça page ...
Enfin bon ... c'est mon avis
2 mai 2006 à 05:18
@ tchaOo°
2 mai 2006 à 04:04
"16 ans et ça fait 1 ans seulement que j'ai un pc chez moi"
alors évite de croire que tu en sais plus que tout un chacun sur un language de programation tel que php... .. .
Comme le dit NicoWatt le fait de faire un fichier config.php ne corrige en aucun cas une faille de sécurité mais permet de mettre dans un seul fichier standard du code qui d'une part se retrouve dans tous les fichiers et d'autre part peut être changé à tout moment... .. .
>> msdos1991... "Testes l'égalité des valeurs ET des types dans tes conditions (avec l'opérateur === par exemple ou bien !==)"
Pas forcement... la comparaison typé n'est vraiment utile que quand tu n'est pas sûr du type de valeur d'une variable (par ex strpos qui peut retourner 0 ou false)... si tu est sur du type de la variable que tu manipule autant ne pas faire de comparaison typé c'est toujours ça de gagné en terme de temps d'éxécution... .. .
>> ScripteurPermanent... c'est une bonne initiative que de se lancer dans la réalisation d'un source bien que ce type de source soit déja largement représenté sur le site... .. .
je n'ais pas testé le code mais à vu de nez je dirais... .. .
index.php...
$_POST['pseudo'] != NULL
je mettrais plutot...
!empty($_POST['pseudo'])
...
mysql_connect("localhost", "root", "");
mysql_select_db("test");
comme l'a dit msdos1991 cette partie là n'est pas top car les erreurs de connection (qui ne sont pas dues uniquement à un mauvais couple login/pass) ne sont pas gérées... fais au moins...
mysql_connect('localhost', 'root', '') or die('Erreur de connection à la base de données');
mysql_select_db('test') or die('Erreur de connection à la base de données');
Il faut que tu travail tes bases en sql car la technique que tu utilise pour trouver l'utilisateur dans la base de données n'est pas du tout viable... tu prend tous les users et les passe en revue pour trouver le bon... sur une table contenant dix users ok mais imagine sur une table contenant 3000 membres tu te complique la vie alors que tu peux tout simplement faire...
$result = mysql_query('SELECT id,prenom,nom,adressemail,signature FROM tbl_utilisateur WHERE pseudo='.mysql_real_escape_string($_POST['pseudo']));
if(mysql_num_rows($result) == 0)
{
// l'utilisateur n'existe pas
$b_connexion = false;
}
else
{
// l'utilisateur existe
$b_connexion = true;
$utilisateur = mysql_fetch_array($result);
$utilisateur['pseudo'] = $_POST['pseudo'];
}
Sinon évite les echo à répétition... concatène les chaines à afficher et évite les doubles quotes si tu ne met pas de variables à interpréter à l'intérieur... ex...
echo "Bonjour ";
echo $utilisateur['pseudo'];
echo ", bienvenue sur mon site !
";
echo "Sur mon site vous pourrez faire pleins de trucs, bla bla bla
";
echo "et même du légo, bla bla bla, remplissage
";
devient...
echo 'Bonjour '.$utilisateur['pseudo'].', bienvenue sur mon site !
Sur mon site vous pourrez faire pleins de trucs, bla bla bla
et même du légo, bla bla bla, remplissage
';
Fichier admin.php...
Pareil que pour l'index en ce qui concerne les echo... .. .
Fais une vérif sur le pseudo pour l'inscription de nouveaux utilisateurs afin que l'on ne puisse s'inscrire qu'une fois avec un pseudo (ce qui reglera par la même ta faille au niveau de l'admin)... .. .
évite les ... "SELECT * FROM $tbl WHERE ID='$ID'" fais plutot 'SELECT pseudod,prenom,nom,adressemail,signature FROM tbl_utilisateur WHERE ID=\''.$ID.'\''
Bilan...
Il pourrait etre interessant comme dit précédament de faire un fichier unique concernant la connection sql ça sera plus simple et plus facile à gérer... .. .
Il faudra que tu m'explique comment tu reconnait l'utilisateur une fois qu'il est logué... avec ton code si on change de page on doit se reloguer ce qui est plutot génant... interesse toi aux sessions pour palier à ce manque (tu trouvera sur ce site des sources d'espace membre utilisant les sessions pour imager tout ça)... .. .
Il serait bien de toujours controler (fonctions is_*) et filtrer (addslashes,strip_tags,htmlentities,mysql_real_escape_string...) les entrées utilisateurs (même en page d'admin)... ça permet d'éviter des mauvaises suprises... .. .
Il pourrait être interessant de se tourner vers la POO afin de standardiser des routines que l'on est suceptible d'utiliser sur tout le site... la programation object est à mon sens des plus adaptée pour ce genre de taches... mais c'est un avis perso et c'est loin d'être indispensable... .. .
Voili voilou ce que je peut en dire sans avoir regardé en profondeur... bien qu'il y ai pleins de petites erreurs, ce qui est normal quand on débute, le fond est pas trop mal codé... c'est plutot bien pour un début... .. .
@ tchaOo°
1 mai 2006 à 19:50
Quand a toi ScritpeurPermanent, je vais me pencher sur ton problème Mercredi, car Mardi je n'aurai pas de temps de libre. Je t'enverrai mon adresse msn, si tu as msn par MSGPV, ou mon adresse mail si tu as pas msn :D.
1 mai 2006 à 14:44
Quelques petites choses (rien de bien méchant ^^):
-- Indente ton code php et ton code xhtml (indépendamment bien sûr)
Perso, j'utilise comme convention "2 espaces = une indentation"
-- Places une seule instruction par ligne, c'est tout de suite bcp plus clair pour les lecteurs futurs (toi inclus :D )
-- Testes l'égalité des valeurs ET des types dans tes conditions (avec l'opérateur === par exemple ou bien !==)
-- Mieux vaut un long commentaire de 3 lignes puis ton code plutôt que ton code avec des commentaires à la fin de chaque ligne ;-)
-- "NEVER trust user input", comme disait l'autre :D
Voili voilou, fais déjà ces changements et ton code gagnera en lisibilité et en efficacité :)
1 mai 2006 à 14:32
Tout d'abord merci NicoWatt de m'être venu en aide pour ces grands méchant loups :D (et bon appétit :p)
Bon alors je vais modifier un peu ma source si elle doit l'être, je ne vais peut-être pas r'ajouter d'includes (je le ferais si j'étais vraiment sur un site pro mais la c'est j'ai une source exemple) mais je vais la réécrire plus proprement car je sais que c'est important, pouvez-vous juste me dire ce qu'il y a à améliorer? Je vais me charger d'alléger les commentaires (commentaires light 0% :-p) et mieux organiser mon code en bloc, ensuite je republierais cette source. Je vais aussi modifier le code pour pouvoir éliminer cette vilaine parse error, mais bon excusez-moi de ne pas l'avoir vue mais chez moi ça marche bien même quand je ne remplie rien.
allez bon premier Mai !
PS: Moi pour l'orthographe je là fait relire par mon ordi sinon c'est illisible :D
PS2: Reste Dj-Boomer, tu es le premier à être venu et plus on est de fou mieux on code :D
1 mai 2006 à 12:33
D'accord c'est mieux de pas en faire, mais c'est pas le sujet !
Tu ne m'importunes pas en ce qui me concerne !
Je vais manger... :)
1 mai 2006 à 12:27
DJ_BoOmEr >> c'et bon tu peux rester :D
1 mai 2006 à 12:24
Merci de votre compréhension.
1 mai 2006 à 12:06
Ne pas oublier que tu as 16 ans ??? Que tu aies 7 ou 77 ans ça ne change rien !
Et ce site n'est pas le lieu pour comparer nos connaissances, mais c'est une communauté de développeur !
Merci donc de respecter cela. Il n'a jamais été question de compétition. Si tu veux te mesurer, va le faire ailleurs. (cela n'est pas une attaque).
Je vous souhaite tous une excellente journée, bon appétit.
Et comme dirai Amen: "In Web we trust"...
1 mai 2006 à 11:17
>> Bien sur qu'on en fait, mais à ce niveau ça devient grave xD
"DJ_BoOmer: Quand a mon orthogrgaphe je suis désolé, a titre d'inforamation pour ceux qui me désence, j'ai 16 ans et ça fait 1 ans seulement que j'ai un pc chez moi, et j'en sais beaucoup plus que certains inscrits sur ce site."
>> Et alors ? Perso j'ai 15 ans ;-)
...Et si on retournait à notre conversation de départ ?
1 mai 2006 à 11:09
NicoWatt, la methoded que j'ai donnée a, été testé, et prouvé, puisque je l'ait déja essayer. Je suis un programmeur débutant, mais aaussi hobbit c'est de découvrir les failles. Donc stp ne vient pas me dire que cela ne marche pas :)
Quand a mon orthogrgaphe je suis désolé, a titre d'inforamation pour ceux qui me désence, j'ai 16 ans et ça fait 1 ans seulement que j'ai un pc chez moi, et j'en sais beaucoup plus que certains inscrits sur ce site. Ne l'oubliez pas.
Merci ded votre compréhension.
BoOmEr
1 mai 2006 à 10:35
Il est clair que l'orthographe est importante, mais même si vous travaillez sur des languages, nous ne sommes pas profs de lettres !
Ca m'énerve de voir de grosses fautes, mais tout le monde en fait, non !
Allez continuez la conversation ...
Et bon 1er mai (si vous êtes en France car je ne sais pas si cela est férié dans les autres pays francophone)...
1 mai 2006 à 10:27
:|
1 mai 2006 à 10:23
C'est vrai que mon commentaire a sans doute été un peu "sec" et je m'en excuse...
Un petit conseil: il vaut mieux écrire les noms des fichiers en minuscule sur le web, particulièrement ceux du style index ;-), toujours pour des raisons de réglage de serveur (DirectoryIndex plus précisément)
Enfin, petit message à l'intention de DJ_BoOmer et SpiderMario: avant de critiquer les autres de cette façon, suivez quelques cours de politesse et d'humilité (sans parler de l'orthographe).
"Il vaut mieux fermer sa gueule et paraître con plutôt que l'ouvrir et ne plus laisser aucun doute sur le sujet" :D
1 mai 2006 à 10:18
1 mai 2006 à 10:04
en lisant les commentaires que vous avez déposés je me sens obligé d'intervenir.
en effet, ScripteurPermanent vous a proposé une source et vous êtes en train de le descendre.
je tiens à vous rappeler que c'est sa première source publique et qu'il disait être débutant dans le domaine. de plus vous semblez tous vous y connaître les uns plus que les autres enfin c'est plutôt ce que vous chercher à montrer.
Sincèrement vous devriez rester bien plus humble car tout ce que vous avez dit n'est pas parfaitement vrai !
Je m'explique:
- Quant à l'histoire de l'erreur SQL lorsque l'on ne remplit ni pw ni login, c'est vrai que c'est dommage, car une application qu'elle qu'elle soit doit toujours traiter toutes les erreurs possibles et imaginables (même si on est certain qu'elles n'apparaîtrons jamais). ScripteurPermanent va l'apprendre avec l'expérience.
- Quant à l'histoire des problèmes de sécurité dûs aux aspirateurs de site. Ceci est une vrai bêtise que de penser qu'un aspirateur peut télécharger un code PHP ! En effet, je vous rappelle que PHP est un language executé côté serveur qui parfois (et même très souvent) est à l'origine d'une page HTML. En fait PHP dans ce cas génére un code HTML en fonction des actions d'un utilisateur. Maintenant un aspirateur de site ne fait que lire les contenus générés par PHP, en clair c'est un navigateur autonome qui télécharge ce qu'il consulte et suit tous les liens de la page. Donc en aucun cas il ne pourra télécharger un code PHP.
- Quant au CHMOD, je répondrais que oui si vous voulez le passer en 700, c'est mieux, mais si le serveur web est bien configuré, ca ne changera rien.
- Quant à l'inclusion par un autre utilisateur du serveur Web. Il est faut de penser qu'un autre user de même serveur puisse faire un "include" ou un "require" du fichier car, chaque fichier (que ce soit sous unix ou sous windows) est rattaché à un utilisateur, donc les autres utilisateurs, même s'ils peuvent voir qu'il y a un fichier, ne peuvent rien en faire. Sauf si vous avez expressément donné les droits (par chmod).
- Quant à l'utilisation d'un .htaccess. C'est vrai que ce n'est pas inutile. (Je vous donne la syntaxe très simple: deny from all). Mais cela ne fera qu'empêcher l'accès par HTTP et comme je vous l'ai dit les fichiers PHP ne retourne que l'HTML généré et pas leur code source.
Je tiens à faire une remarque préventive: j'ai vu vraiment trop souvent des programmeurs (perso et pro) faire des fichiers config.inc !!! Attention !!! je vous recommende de ne JAMAIS faire cela, écrivez plutôt config.inc.php ou config.php. Pourquoi ? Parce que si Apache n'est pas configuré pour interprêter les fichier .inc, leur contenu peut être afficher comme un .txt par la méthode HTTP. Votre script PHP marchera, mais tous les codes d'accès seront accessibles !
J'ai lu le code source déposé, et c'est vrai qu'il n'est pas trés propre, ni bien écrit, mais vous avez tous commencé comme cela n'est-ce pas, je dis que c'est bien de tenter, c'est comme cela qu'on apprend.
J'oubliais de dire à DJ_BoOmEr que ce qu'il croit être une faille de sécurité n'en est pas une car que tu mettes les codes d'accès dans un fichier à inclure ou dans un autre ne change rien du tout !
La simple raison que nous avons de faire ça c'est que ça nous évite de réécrire les codes à chaque connexion! Comme ça pour la maintenance, le jour où on change de codes, et bien on les modifie que dans un seul fichier. L'idée que tu as est bonne, mais la raison n'est pas la bonne :)
J'éspère que vous ne prendrez pas mal ce que je vous dis là, ce n'est pas une engueulade ou une démonstration de quoi que ce soit, mais je tenais à réagir. J'aime beaucoup cette communauté et vous en faites parti. Je tiens donc à vous faire évoluer (comme d'autre l'on fait pour moi à mes débuts).
Sur ce je vous souhaite une excellente journée, et merci de m'avoir lu.
Si vous avez des questions, n'hésitez pas !
Amicalement,
NicoWatt
30 avril 2006 à 20:32
30 avril 2006 à 19:38
30 avril 2006 à 18:39
30 avril 2006 à 18:09
30 avril 2006 à 14:59
Alors déjà MsDos je vais me pencher sur tes deux problèmes, pourrais-tu me dire où ma source plante exactement stp, ensuite je vais là réécrire plus proprement si tu veux, j'avais laisser tous les commentaires au cas où il y ait des newbies qui me lisent mais comme ce n'est pas le cas je vais la remanier.
Sinon au niveau de la connections sql je ne sais pas comment faire pour cacher plus les identificateurs de connections mais je pense que si on empêche le téléchargement des pages alors personnes ne pourra aspirer le site et donc personne n'aura le code php contenant les pseudo et mdp de connections sql non? enfin si quelqu'un a une meilleur solution je suis preneur :D
Salut et merci de vote intérêt pour mon code :)
30 avril 2006 à 12:33
include('config.php');
En d'autres termes, n'importe qui qui connaît l'existence de ce fichier peut se connecter à ta base de données. Le script de ScripteurPermanent est donc plus sécurisé que le tien !
30 avril 2006 à 11:48
//Connexion à la BDD:
mysql_connect("localhost", "root", ""); //connexion.Identification
mysql_select_db("test"); //connexion.selection de la base
moi j'aurais créer une page config.php où j'aurais mis les vaariables de type $bddserver, $bddlogin, $bddpassword, $bddname, et que j'aurai appeler ici
//Connexion à la BDD:
mysql_connect("$bddserver", "$bddlogin", "$bddpassword");
mysql_select_db("$bddname");
Ensuite j'aurai sécuriser la page config.php.
Mais bon, ça c'est si ça avais été moi :)
30 avril 2006 à 11:43
Ta source plante chez moi sous PHP5 et MySQLi :/
Cependant, j'ai regardé le code et je pense que:
--> ton code pourrait être écrit plus proprement
--> pas besoin de mettre des commentaires à chaque ligne, surtout du style "pour les normes du HTML" en face d'un doctype
--> ta source n'est pas sécurisée du tout et génère une erreur SQL si le couple login/passe est faux
--> tu aurais pu le faire avec des opérateurs de bits ;)
30 avril 2006 à 11:37
Oui voilà c'est ça, c'est un scripT (comme tu dis :-D) pour pouvoire administrer ses utilisateurs de son site web via un base de donnée.
30 avril 2006 à 11:06