CLASSE DE SESSION ET D'AUTHENTIFICATION
cs_GRenard
Messages postés
1662
Date d'inscription
lundi 16 septembre 2002
Statut
Membre
Dernière intervention
30 juillet 2008
-
12 oct. 2006 à 05:36
ceadreak Messages postés 1 Date d'inscription lundi 29 novembre 2010 Statut Membre Dernière intervention 19 janvier 2010 - 19 janv. 2010 à 15:42
ceadreak Messages postés 1 Date d'inscription lundi 29 novembre 2010 Statut Membre Dernière intervention 19 janvier 2010 - 19 janv. 2010 à 15:42
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/39893-classe-de-session-et-d-authentification
https://codes-sources.commentcamarche.net/source/39893-classe-de-session-et-d-authentification
19 janv. 2010 à 15:42
Par contre une petite question, pourquoi utilise-tu une fonction de cryptage et pas directement la fonction PASSWORD() de MySQL?
Ceci dit, je l'ai laissé comme ca pour ma classe d'abstraction PSQL
Encore merci ! Ca m'a évité pas mal de taf :)
8 janv. 2010 à 14:08
Vu que ces 2 lignes posaient pb :
$username_input = mysql_real_escape_string(traiteVar($username_input, 0));
$password_input = mysql_real_escape_string(traiteVar($password_input, 0));
Je les avais supprimées lors de mes tests.
Pour ceux qui veulent que ca fonctionne rapidement, remplacez-les par :
$username_input = mysql_real_escape_string($username_input);
$password_input = mysql_real_escape_string($password_input);
Mais AMHA il faut aller un peut plus loin dans la protection contre les injections...
7 janv. 2010 à 13:41
Je déterre ce sujet car il m'intéresse au plus haut point. Je suis en fait en train de faire la même chose pour un gros site, et je suis tombé sur cette source.
J'ai plusieurs remarques à faire, notamment au niveau injection SQL.
AMHA, il serait bon de prévoir un sprintf avec un mysql_real_escape_string lorsqu'on interroge la base à partir du POST...
Vous allez dire : l'utilisateur n'a qu'a protéger ce POST avec un addslashes, mais je ne suis pas sur que ce soit aussi propre (mais je peux me tromper ;) )
20 févr. 2008 à 14:05
15 mai 2007 à 12:09
Il serait pratique de mettre à jour ta source et de proposer un fichier ZIP COMPLET avec la class abstraite mysql de malalam ;)
Pour ma part il manque des points-virgules à la fin de tes requêtes de création de table mysql ;)
++ Merci d'avance.
5 févr. 2007 à 00:32
4 févr. 2007 à 20:32
Tous d'abord merci pour ce script
Mais j'ai une Question
Et-il possible de le faire pour Microsft SQL Serveur ?
Merci d'avance
1 janv. 2007 à 16:32
28 déc. 2006 à 18:54
Voila pourquoi elle est à l'extérieur, elle n'a rien à faire dans cette classe.
28 déc. 2006 à 14:34
cf ci-dessous :
public function AuthUser($username_input, $password_input)
{
$this->msg_error = '';
$username_input = mysql_real_escape_string(traiteVar($username_input, 0));
$password_input = mysql_real_escape_string(traiteVar($password_input, 0));
14 déc. 2006 à 21:56
je vais mettre de l'ordre dans ma tête et dans mon code car là je m'y perds aussi :op
14 déc. 2006 à 14:58
(mdr kankrelune)
14 déc. 2006 à 14:07
J'ais du mal à voir ce que tu veux dire... pourquoi veux tu que la connection "pète"... tu lui donne à manger du choux ? lOoOl... .. . ;o)
@ tchaOo°
14 déc. 2006 à 14:00
Tant que je n'ai pas de problèmes de performances, je vais garder le système tel quel en fait.
Lorsque j'aurais plusieurs centaines de connexions simultanées (et là si j'y arrive un jour c'est jackpot!) ça sera une autre histoire ...
Merci pour vos conseils
Ben
14 déc. 2006 à 11:25
@ tchaOo°
13 déc. 2006 à 18:13
Pour le reste de ton post je lit ça tranquillement dés que possible avant de te conseiller.
13 déc. 2006 à 18:06
Donc si je comprends bien, pas question ici de mettre en place un Singleton pour économiser des ressources ?
Toujours dans mon apprentissage de newbie, j'ai défini une classe UserManager avec son constructeur UserManager($db), qui me permet de récupérer la connexion à la base.
un exemple de mon code est
$user_manager new UserManager($db); // le constructeur fait juste un "$this->db $db";
$user_id = $session->GetUserId(); // que j'ai aussi rajouté dans la classe Session
puis enfin je peux manipuler l'objet user_manager:
$user_manager->addProperty($user_id, $property, $value); // INSERT des propriétés dans une table USERPROPERTY
Je ne suis pas forcément convaincu de cette manière de faire, je ne sais pas si je m'y prends bien. (d'autant plus que j'ai plusieurs classes dans le même genre, DVDManager, etc.)
En plus, comme je dois recréer l'objet $user_manager à chaque page ou je fais des opérations sur mes utilisateurs (CreateUser, RemoveUser ...), je pensais transformer ma classe UserManager en singleton, de manière à toujours récupérer la connexion valide.
Quelqu'un voit une autre manière plus élégante de faire, ou bien pourrait me donner son avis sur la chose ?
Merci
Ben
29 nov. 2006 à 23:09
Je m'incline devant une telle oeuvre.
Je manque encore de pratique pour bien en saisir toute la portée, mais c'est superbe. En conjontion avec le présent code, ça donne un truc bien sympa. Merci les gars et encore bravo
10/10 pour ma part
27 nov. 2006 à 00:26
Tout est indiqué...
26 nov. 2006 à 21:49
Par contre, il y a un truc que je ne comprends pas.
Il est écrit $this->db->query(...), or je ne vois nul part la déclaration des fonctions propre à l'objet $db. Est-ce que c'est un objet prédéfini dans php ou est-ce une classe à part que tu as omis de mettre dans ton code. Si c'est le cas, il serait simpas de l'inclure dans le source.
Merci
3 nov. 2006 à 10:57
3 nov. 2006 à 10:33
Je n'ai pas les idées très claires sur le sujet, merci de m'apporter un peu de lumière !
Merci
17 oct. 2006 à 13:27
17 oct. 2006 à 13:19
16 oct. 2006 à 13:00
@ tchaOo°
16 oct. 2006 à 12:32
15 oct. 2006 à 21:44
15 oct. 2006 à 17:43
"// getIp() = méthode qui récupère l'ip (pas juste le $_SERVER['REMOTE_ADDR'])"
$checkKey $this->getIp();
> méthode statique à préférer ici :
$checkKey = self::getIP();
Ce qui fait que getIP() peut être récupéré même en dehord de ta classe, pas besoin de faire 40 méthodes pour chaque classe :)
"// hash() methode qui renvoie un hash sha1 si la fonction
// existe sinon un hash md5
$this->userCheckId = $this->hash($checkKey);
"
Et puis la pareil :)
M'enfin c'est vraiment la ptite bête... juste que jvoulais marquer un truc à la con ;)
12 oct. 2006 à 18:19
function getUserCheckId()
{
if(empty($this->userCheckId))
{
// getIp() = méthode qui récupère l'ip (pas juste le $_SERVER['REMOTE_ADDR'])
$checkKey = $this->getIp();
// getEnv = method qui recherche dans les variables $_SERVER, $_ENV
// ou fait getenv() sinon renvoi ''
$checkKey .= $this->getEnv('HTTP_ACCEPT_CHARSET');
$checkKey .= $this->getEnv('HTTP_ACCEPT_ENCODING');
$checkKey .= $this->getEnv('HTTP_ACCEPT_LANGUAGE');
$checkKey .= $this->getEnv('HTTP_USER_AGENT');
// hash() methode qui renvoie un hash sha1 si la fonction
// existe sinon un hash md5
$this->userCheckId = $this->hash($checkKey);
}
return $this->userCheckId;
}
après tu compare à chaque ouverture de session si l'identifiant est mauvais tu ferme la session... .. .
Désavantage certain fournisseur d'accès on des IP dynamiques qui changent tout le X temps... dans ce cas ça posera problème l'internaute sera déconnecté tous les X temps... .. .
Sinon il serait bien que tu te penche sur session_set_save_handler()
http://fr2.php.net/manual/fr/function.session-set-save-handler.php
@ tchaOo°
12 oct. 2006 à 17:28
12 oct. 2006 à 17:25
12 oct. 2006 à 14:13
@ tchaOo°
12 oct. 2006 à 08:39
Je corrige ça dans la journée.
12 oct. 2006 à 05:36
var c'est php4, il faut mettre private, protected ou public avec php5 :)