SYSTEME D'AUTHENTIFICATION ET D'ADMINISTRATION SIMPLE
bizzard4
Messages postés
155
Date d'inscription
vendredi 12 décembre 2003
Statut
Membre
Dernière intervention
15 février 2009
-
2 août 2006 à 22:05
yvanmaster Messages postés 5 Date d'inscription dimanche 13 janvier 2013 Statut Membre Dernière intervention 9 mars 2014 - 16 janv. 2013 à 22:06
yvanmaster Messages postés 5 Date d'inscription dimanche 13 janvier 2013 Statut Membre Dernière intervention 9 mars 2014 - 16 janv. 2013 à 22:06
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/38842-systeme-d-authentification-et-d-administration-simple
https://codes-sources.commentcamarche.net/source/38842-systeme-d-authentification-et-d-administration-simple
16 janv. 2013 à 22:06
je me demende si les mise a jour de phpmyadmine font que sa ne marche plu alors si c'est sa comment
metre a jour.
cordialmen.
22 mai 2010 à 12:37
Le site officiel :
http://labs.securitycompass.com/index.php/exploit-me/
J'ai testé mes choses et ça m'a permis de corriger mes erreurs. En plus du Web Développer qui permet de corriger plusieurs autres problèmes lié à la programmation.
Le site officiel :
http://chrispederick.com/work/web-developer/
Pour le développer du script et autres à qui cela peut intéressé.
1 mai 2008 à 01:06
Ce qui prouve bien mes textes.
1 mai 2008 à 00:55
1 mai 2008 à 00:37
Mais il y a un petit truc, d'après la loi, webmaster a l'obligation, sur demande de son proprietaire, de supprimer, rectifier, etc, ses données.
Aussi, d'apres la loi, webmaster a l'obligation de ne pas obliger l'utilisateur a donner des informations personnelles. CAD que quand nous nous inscrivont, l'internote doit marquer son nom et son prénom. Dans le cadre de mon site il n'est pas imperativement necessaire. Donc je ne dois pas l'obliger a taper cela.
Voilà quelques chose qui rendra ton code un peu plus 'légal'. Merci encore !
http://yukserv.dnsalias.com/index.php?id=6 Visualise ton travail :)
11 juin 2007 à 22:49
Sinon ta source alair tres interressante je vais la tester de suite pour la partie admin de mon site
10 mai 2007 à 22:54
17 août 2006 à 21:25
(Dls pour le double post mais jetait sur mon autre account sans le savoir :S )
En passant sous firefox il m'est impossible de deconecter :S je suis sur IE la et sa marche mais pas sur FireFox :S
17 août 2006 à 21:21
17 août 2006 à 20:57
INCLUSION_AUTORISE n'est pas une fonction... c'est un element que tu défini à un endroit du script (dans le define) et qui ensuite gardera toujours cette valeur, jusqu'à la fin du script.
en gros dans le script principale tu défini ton élément avec la valeur à 1 (ou "oui" ou vrai) et dans le script que tu inclus, tu vérifi le contenu de l'élément.. si ce n'est pas la bonne valeur c'est qu'il n'est pas passé par le script principal donc c'est surement un appel direct à ton script...
voila voila.
biz
17 août 2006 à 20:51
14 août 2006 à 07:36
ok pour l'inclusion de fonction, on ne peut pas lister les éléments dans ce fonctionnement la.
un petit conseil: il faut essayer d'être constant dans le fonctionnement de tes scripts.
si dans un cas le script est appelé directement, dans un autre il faut passer par une page qui fait un include, et un troisième cas ou .... , etc, tu risques de ne pas réussir à relire tes scripts dans 1 ou 2 années.
pour la sécurité de l'inclusion, tu peux utiliser un define dans le script principale:
ex define('INCLUSION_AUTORISE','oui');
et dans tous tes scripts inclus
if (INCLUSION_AUTORISE!='oui')
{
die('pas le droit de me lancer directement');
}
sinon il est vrai qu'il est assez important d'utiliser les sessions, avec un test en haut de chaque page, comme cela tu limites les failles de sécurité aux utilisateurs déjà identifiés
voila voila..
bonne continuation.
biz
14 août 2006 à 01:02
Pour l'oublie de l'include de la function c'est parce que normalement l'admin va dans la page 'admin_panel.php' en passant par 'administration.php' alors l'include est deja fait. Si j'en met un il me balance une erreur du genre Notice : Functoin.inc.php already declare ou qkk chose du genre.
Ce qui en meme temps empeche a n'importe qui d'aller sur la page 'admin_panel.php' car il faux apsolument passer par 'administration.php' car sinon il n'a pas de functions alors aucun utilisateur n'est affiche.
A t'il une facon d'ouvrir la page 'admin_panel.php' tout en aillant acces au function de 'functions.inc.php' ? (sans passer par 'administration.php')
Merci de la remarque prochaine versoin n'aura pas ces erreurs.
13 août 2006 à 23:16
j'ai remarqué une petite erreur de fonctionnement dans la sécurité....
exemple avec admin_panel.php:
<?php
if ((isset($_POST['fm_ad_login'])) AND (isset($_POST['fm_ad_password']))) {
echo 'Adminstration Panel
';
show_tmp_user();
show_user();
} else {
echo 'Vous navez pas les droits dadministratoin!';
}
?>
- en premier il manque l'inclusion du fichier de fonction (mais ca ne doit etre qu'un petit oubli)
- en second et plus grave, avec firefox il est trés facile de modifier/rajouter des variables en POST. du coup, on peut trés facilement afficher la liste des utilisateurs temporaire et complet.
qu'est ce qui m'empeche du coup de lancer directement la page admin_panel.php, en ajoutant les variable POST et afficher la liste des utilisateurs sans etre identifiée?????
de la meme facon... qu'est ce qui m'empeche de supprimer tous les comptes temporaire en appelant:
supcompte.php?t=tmp&uid=1 , supcompte.php?t=tmp&uid=2 etc.
pareil pour l'activation des comptes...
Il n'y a pas d'authentification dans ces fichiers annexe.
on peut donc au final, en plusieurs étaptes, se créer un compte, lister les comptes pour trouver le numéro du compte, et l'activer.
voila voila...
j'attendrais la prochaine version pour mettre une note ;)
biz
9 août 2006 à 19:42
bonne chance
5 août 2006 à 01:53
2 août 2006 à 22:05