SYSTEME D'AUTHENTIFICATION ET D'ADMINISTRATION SIMPLE
bizzard4
Messages postés155Date d'inscriptionvendredi 12 décembre 2003StatutMembreDernière intervention15 février 2009
-
2 août 2006 à 22:05
yvanmaster
Messages postés5Date d'inscriptiondimanche 13 janvier 2013StatutMembreDernière intervention 9 mars 2014
-
16 janv. 2013 à 22:06
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
J'ai testé mes choses et ça m'a permis de corriger mes erreurs. En plus du Web Développer qui permet de corriger plusieurs autres problèmes lié à la programmation.
cs_Yukiz
Messages postés2Date d'inscriptiondimanche 27 avril 2008StatutMembreDernière intervention 1 mai 2008 1 mai 2008 à 00:37
Bein voilà, j'ai adopté ton code, super, merci !
Mais il y a un petit truc, d'après la loi, webmaster a l'obligation, sur demande de son proprietaire, de supprimer, rectifier, etc, ses données.
Aussi, d'apres la loi, webmaster a l'obligation de ne pas obliger l'utilisateur a donner des informations personnelles. CAD que quand nous nous inscrivont, l'internote doit marquer son nom et son prénom. Dans le cadre de mon site il n'est pas imperativement necessaire. Donc je ne dois pas l'obliger a taper cela.
peloo
Messages postés8Date d'inscriptiondimanche 2 mars 2003StatutMembreDernière intervention24 décembre 2009 11 juin 2007 à 22:49
lol le gars il se repond a lui meme 9mois plutard XD
Sinon ta source alair tres interressante je vais la tester de suite pour la partie admin de mon site
bizzard4
Messages postés155Date d'inscriptionvendredi 12 décembre 2003StatutMembreDernière intervention15 février 2009 10 mai 2007 à 22:54
Ta juste a lire les explications finales juste en haut.
bizzard4
Messages postés155Date d'inscriptionvendredi 12 décembre 2003StatutMembreDernière intervention15 février 2009 17 août 2006 à 21:25
a okok dls javais mal comprit je comprend la merci ! :)
(Dls pour le double post mais jetait sur mon autre account sans le savoir :S )
En passant sous firefox il m'est impossible de deconecter :S je suis sur IE la et sa marche mais pas sur FireFox :S
fireuo
Messages postés55Date d'inscriptiondimanche 22 février 2004StatutMembreDernière intervention17 août 2006 17 août 2006 à 21:21
a okok dls javais mal comprit je comprend la merci ! :)
cs_emilia123
Messages postés122Date d'inscriptionmercredi 19 décembre 2001StatutMembreDernière intervention 5 janvier 2009 17 août 2006 à 20:57
bonsoir,
INCLUSION_AUTORISE n'est pas une fonction... c'est un element que tu défini à un endroit du script (dans le define) et qui ensuite gardera toujours cette valeur, jusqu'à la fin du script.
en gros dans le script principale tu défini ton élément avec la valeur à 1 (ou "oui" ou vrai) et dans le script que tu inclus, tu vérifi le contenu de l'élément.. si ce n'est pas la bonne valeur c'est qu'il n'est pas passé par le script principal donc c'est surement un appel direct à ton script...
voila voila.
biz
bizzard4
Messages postés155Date d'inscriptionvendredi 12 décembre 2003StatutMembreDernière intervention15 février 2009 17 août 2006 à 20:51
Merci beaucoup je ne connaissait pas la function INCLUSION_AUTORISE je vais faire en sorte de men servir dans la prochaine version.
cs_emilia123
Messages postés122Date d'inscriptionmercredi 19 décembre 2001StatutMembreDernière intervention 5 janvier 2009 14 août 2006 à 07:36
bonjour,
ok pour l'inclusion de fonction, on ne peut pas lister les éléments dans ce fonctionnement la.
un petit conseil: il faut essayer d'être constant dans le fonctionnement de tes scripts.
si dans un cas le script est appelé directement, dans un autre il faut passer par une page qui fait un include, et un troisième cas ou .... , etc, tu risques de ne pas réussir à relire tes scripts dans 1 ou 2 années.
pour la sécurité de l'inclusion, tu peux utiliser un define dans le script principale:
ex define('INCLUSION_AUTORISE','oui');
et dans tous tes scripts inclus
if (INCLUSION_AUTORISE!='oui')
{
die('pas le droit de me lancer directement');
}
sinon il est vrai qu'il est assez important d'utiliser les sessions, avec un test en haut de chaque page, comme cela tu limites les failles de sécurité aux utilisateurs déjà identifiés
voila voila..
bonne continuation.
biz
bizzard4
Messages postés155Date d'inscriptionvendredi 12 décembre 2003StatutMembreDernière intervention15 février 2009 14 août 2006 à 01:02
Je connait deja cette erreur, car je n'utilisse pas les sessions :S Mais tout cela devrait etre beaucoup mieu quand je vais le refaire avec les sessions (Prochaine Version) je revien cher moi jeudi je vais surement m'attaquer a cela.
Pour l'oublie de l'include de la function c'est parce que normalement l'admin va dans la page 'admin_panel.php' en passant par 'administration.php' alors l'include est deja fait. Si j'en met un il me balance une erreur du genre Notice : Functoin.inc.php already declare ou qkk chose du genre.
Ce qui en meme temps empeche a n'importe qui d'aller sur la page 'admin_panel.php' car il faux apsolument passer par 'administration.php' car sinon il n'a pas de functions alors aucun utilisateur n'est affiche.
A t'il une facon d'ouvrir la page 'admin_panel.php' tout en aillant acces au function de 'functions.inc.php' ? (sans passer par 'administration.php')
Merci de la remarque prochaine versoin n'aura pas ces erreurs.
cs_emilia123
Messages postés122Date d'inscriptionmercredi 19 décembre 2001StatutMembreDernière intervention 5 janvier 2009 13 août 2006 à 23:16
bonsoir à tous,
j'ai remarqué une petite erreur de fonctionnement dans la sécurité....
exemple avec admin_panel.php:
<?php
if ((isset($_POST['fm_ad_login'])) AND (isset($_POST['fm_ad_password']))) {
echo 'Adminstration Panel
';
show_tmp_user();
show_user();
} else {
echo 'Vous navez pas les droits dadministratoin!';
}
?>
- en premier il manque l'inclusion du fichier de fonction (mais ca ne doit etre qu'un petit oubli)
- en second et plus grave, avec firefox il est trés facile de modifier/rajouter des variables en POST. du coup, on peut trés facilement afficher la liste des utilisateurs temporaire et complet.
qu'est ce qui m'empeche du coup de lancer directement la page admin_panel.php, en ajoutant les variable POST et afficher la liste des utilisateurs sans etre identifiée?????
de la meme facon... qu'est ce qui m'empeche de supprimer tous les comptes temporaire en appelant:
supcompte.php?t=tmp&uid=1 , supcompte.php?t=tmp&uid=2 etc.
pareil pour l'activation des comptes...
Il n'y a pas d'authentification dans ces fichiers annexe.
on peut donc au final, en plusieurs étaptes, se créer un compte, lister les comptes pour trouver le numéro du compte, et l'activer.
voila voila...
j'attendrais la prochaine version pour mettre une note ;)
biz
shynobi
Messages postés5Date d'inscriptionlundi 23 août 2004StatutMembreDernière intervention 9 août 2006 9 août 2006 à 19:42
je pense aussi que ca marchera sans probleme
bonne chance
thekid23
Messages postés77Date d'inscriptionvendredi 24 novembre 2000StatutMembreDernière intervention28 novembre 2007 5 août 2006 à 01:53
Oui tu devrait tres bonne sources :D Merci ;P
bizzard4
Messages postés155Date d'inscriptionvendredi 12 décembre 2003StatutMembreDernière intervention15 février 2009 2 août 2006 à 22:05
Si quelqu'un peut repondre. Je suis entrain de faire une system de NEWS tres complet mais le probleme c'est qu'il marche en function de la source si dessu. Esceque je devrais reposter le tout avec le system de news ou faire une mega modification que personne va voir?
16 janv. 2013 à 22:06
je me demende si les mise a jour de phpmyadmine font que sa ne marche plu alors si c'est sa comment
metre a jour.
cordialmen.
22 mai 2010 à 12:37
Le site officiel :
http://labs.securitycompass.com/index.php/exploit-me/
J'ai testé mes choses et ça m'a permis de corriger mes erreurs. En plus du Web Développer qui permet de corriger plusieurs autres problèmes lié à la programmation.
Le site officiel :
http://chrispederick.com/work/web-developer/
Pour le développer du script et autres à qui cela peut intéressé.
1 mai 2008 à 01:06
Ce qui prouve bien mes textes.
1 mai 2008 à 00:55
1 mai 2008 à 00:37
Mais il y a un petit truc, d'après la loi, webmaster a l'obligation, sur demande de son proprietaire, de supprimer, rectifier, etc, ses données.
Aussi, d'apres la loi, webmaster a l'obligation de ne pas obliger l'utilisateur a donner des informations personnelles. CAD que quand nous nous inscrivont, l'internote doit marquer son nom et son prénom. Dans le cadre de mon site il n'est pas imperativement necessaire. Donc je ne dois pas l'obliger a taper cela.
Voilà quelques chose qui rendra ton code un peu plus 'légal'. Merci encore !
http://yukserv.dnsalias.com/index.php?id=6 Visualise ton travail :)
11 juin 2007 à 22:49
Sinon ta source alair tres interressante je vais la tester de suite pour la partie admin de mon site
10 mai 2007 à 22:54
17 août 2006 à 21:25
(Dls pour le double post mais jetait sur mon autre account sans le savoir :S )
En passant sous firefox il m'est impossible de deconecter :S je suis sur IE la et sa marche mais pas sur FireFox :S
17 août 2006 à 21:21
17 août 2006 à 20:57
INCLUSION_AUTORISE n'est pas une fonction... c'est un element que tu défini à un endroit du script (dans le define) et qui ensuite gardera toujours cette valeur, jusqu'à la fin du script.
en gros dans le script principale tu défini ton élément avec la valeur à 1 (ou "oui" ou vrai) et dans le script que tu inclus, tu vérifi le contenu de l'élément.. si ce n'est pas la bonne valeur c'est qu'il n'est pas passé par le script principal donc c'est surement un appel direct à ton script...
voila voila.
biz
17 août 2006 à 20:51
14 août 2006 à 07:36
ok pour l'inclusion de fonction, on ne peut pas lister les éléments dans ce fonctionnement la.
un petit conseil: il faut essayer d'être constant dans le fonctionnement de tes scripts.
si dans un cas le script est appelé directement, dans un autre il faut passer par une page qui fait un include, et un troisième cas ou .... , etc, tu risques de ne pas réussir à relire tes scripts dans 1 ou 2 années.
pour la sécurité de l'inclusion, tu peux utiliser un define dans le script principale:
ex define('INCLUSION_AUTORISE','oui');
et dans tous tes scripts inclus
if (INCLUSION_AUTORISE!='oui')
{
die('pas le droit de me lancer directement');
}
sinon il est vrai qu'il est assez important d'utiliser les sessions, avec un test en haut de chaque page, comme cela tu limites les failles de sécurité aux utilisateurs déjà identifiés
voila voila..
bonne continuation.
biz
14 août 2006 à 01:02
Pour l'oublie de l'include de la function c'est parce que normalement l'admin va dans la page 'admin_panel.php' en passant par 'administration.php' alors l'include est deja fait. Si j'en met un il me balance une erreur du genre Notice : Functoin.inc.php already declare ou qkk chose du genre.
Ce qui en meme temps empeche a n'importe qui d'aller sur la page 'admin_panel.php' car il faux apsolument passer par 'administration.php' car sinon il n'a pas de functions alors aucun utilisateur n'est affiche.
A t'il une facon d'ouvrir la page 'admin_panel.php' tout en aillant acces au function de 'functions.inc.php' ? (sans passer par 'administration.php')
Merci de la remarque prochaine versoin n'aura pas ces erreurs.
13 août 2006 à 23:16
j'ai remarqué une petite erreur de fonctionnement dans la sécurité....
exemple avec admin_panel.php:
<?php
if ((isset($_POST['fm_ad_login'])) AND (isset($_POST['fm_ad_password']))) {
echo 'Adminstration Panel
';
show_tmp_user();
show_user();
} else {
echo 'Vous navez pas les droits dadministratoin!';
}
?>
- en premier il manque l'inclusion du fichier de fonction (mais ca ne doit etre qu'un petit oubli)
- en second et plus grave, avec firefox il est trés facile de modifier/rajouter des variables en POST. du coup, on peut trés facilement afficher la liste des utilisateurs temporaire et complet.
qu'est ce qui m'empeche du coup de lancer directement la page admin_panel.php, en ajoutant les variable POST et afficher la liste des utilisateurs sans etre identifiée?????
de la meme facon... qu'est ce qui m'empeche de supprimer tous les comptes temporaire en appelant:
supcompte.php?t=tmp&uid=1 , supcompte.php?t=tmp&uid=2 etc.
pareil pour l'activation des comptes...
Il n'y a pas d'authentification dans ces fichiers annexe.
on peut donc au final, en plusieurs étaptes, se créer un compte, lister les comptes pour trouver le numéro du compte, et l'activer.
voila voila...
j'attendrais la prochaine version pour mettre une note ;)
biz
9 août 2006 à 19:42
bonne chance
5 août 2006 à 01:53
2 août 2006 à 22:05