SCRIPT DE SSESSION COMPLET

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 - 20 juin 2007 à 17:31
joosselin Messages postés 1 Date d'inscription lundi 18 mai 2009 Statut Membre Dernière intervention 17 juin 2009 - 17 juin 2009 à 08:40

Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/43192-script-de-ssession-complet

joosselin Messages postés 1 Date d'inscription lundi 18 mai 2009 Statut Membre Dernière intervention 17 juin 2009
17 juin 2009 à 08:40

je pense que tu n'a pas spécifié tes informations de connexions a ta base de données dans le code ou la où le code va les chercher.

val3512 Messages postés 91 Date d'inscription dimanche 29 juillet 2007 Statut Membre Dernière intervention 26 août 2008
16 déc. 2007 à 12:46

quelqu'un pourais me dire svp , j'ai tout bien informé mes info mysql et tout le bazard j'ai mis en ligne .
je vais sur la page nouboMb.php ( sur mon site c'est http://gameszik.hostarea.org/nouvoMb.php ) ceci n'est qu'une page test ne vous inquiter pas s'il a rien sur l'index .
je ne suis qu'un debutant en php .
oui donc il m'afiche sa quand je click sur s'inscrir :
//tes parametre pour ton serveur mysql
Warning: mysql_connect() [function.mysql-connect]: Lost connection to MySQL server at 'reading initial communication packet', system error: 111 in /home/web/clients/gameszik.hostarea.org/www/new_m.php on line 4

Warning: mysql_select_db(): supplied argument is not a valid MySQL-Link resource in /home/web/clients/gameszik.hostarea.org/www/new_m.php on line 5

Warning: mysql_query() [function.mysql-query]: Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2) in /home/web/clients/gameszik.hostarea.org/www/new_m.php on line 13

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /home/web/clients/gameszik.hostarea.org/www/new_m.php on line 13

Warning: Cannot modify header information - headers already sent by (output started at /home/web/clients/gameszik.hostarea.org/www/conf.inc:3) in /home/web/clients/gameszik.hostarea.org/www/new_m.php on line 14

Aidez moi svp ! sniff

osiris_14 Messages postés 4 Date d'inscription vendredi 30 mars 2007 Statut Membre Dernière intervention 14 novembre 2007
14 nov. 2007 à 13:01

Bonjour a tous,
si je me met a la place d'une personne qui n'y connait strictement rien,bien ton script je le met a la corbeille (c'est juste pour te dir qu'il n'y a pas d'explication) :-S. Je ne sais pas ou et comment l'installer :-D

tibob135 Messages postés 34 Date d'inscription mercredi 15 août 2007 Statut Membre Dernière intervention 5 février 2008
15 août 2007 à 21:04

je l'ai fait -_-"

jdalton42 Messages postés 200 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 19 août 2009
15 août 2007 à 19:35

bah télécharge l'archive malin

tibob135 Messages postés 34 Date d'inscription mercredi 15 août 2007 Statut Membre Dernière intervention 5 février 2008
15 août 2007 à 19:34

Euh...Je ne trouve aucun script

jdalton42 Messages postés 200 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 19 août 2009
15 août 2007 à 19:32

tibob qu'est-ce que tu veux dire par il n'y a rien ??

tibob135 Messages postés 34 Date d'inscription mercredi 15 août 2007 Statut Membre Dernière intervention 5 février 2008
15 août 2007 à 17:28

Il n'y a rien

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
4 juil. 2007 à 19:30

par bruteforce, on trouve toujours, peu importe la methode, les securites de ces methodes sont bases sur des convictions, (sauf lorsque la clef est suffisement longue : si pour un xor, elle atteind la taille du message, alors c'est une methode sure) faut que je termine mon livre sur la theorie des codes, mais toujours est-il qu'en theorie, on ne peut pas retrouver x a partir d'un y si y=hash(x); dans un temps de calcul envisageable (sauf en testant toutes les valeurs possibles de y...)

pour de la crypto, si t'as la clef, t'as le message en un temps suffisement court

kiki9741 Messages postés 9 Date d'inscription lundi 10 juillet 2006 Statut Membre Dernière intervention 4 juillet 2007
4 juil. 2007 à 07:14

En d'autre terme un texte hasher ne peux pas "revenir à sa forme origine" et un texte crypter lui le peux ??
^_^

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
23 juin 2007 à 01:29

Ah, tu demandais si la difference entre hash et cryptage etait importante ?
bah c'est simple... si tu veux envoyer un message a un ami, mais que ton petit frere ne doit pas pouvoir le lire, il te faut du cryptage, et si tu veux garder une signature de donnees, mais pas ces donnees, il te faut du hash (apres, tu peux authentifier certaines utilisateurs avec du crypt, en renvoyant les clefs privees ou autre...)

jdalton42 Messages postés 200 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 19 août 2009
22 juin 2007 à 23:00

au fait, en regardant cette source, j'ai remarqué que le formulaire de la page index.htm envoyais les données à la page login.php, cette page ne se trouve pas dans l'archive !

jdalton42 Messages postés 200 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 19 août 2009
22 juin 2007 à 22:56

hein? pour rappelle, ceci n'est pas ma source, je montrai juste que j'avais fais un espace membre de mon coté et que le hashage md5 que je fais sur le pass empechais les injections sql ^^

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
22 juin 2007 à 22:34

bah si ton consideres le fait que ta source existe deja en 100 000 exemplaires, et que c'est un exemple tout juste digne d'exister pour un tuto... alors oui, c'est important de mettre a jours

jdalton42 Messages postés 200 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 19 août 2009
22 juin 2007 à 19:58

salut

TWISTEURWIN > c'est vraiment important?

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
22 juin 2007 à 14:12

cs_twisteurwin Messages postés 167 Date d'inscription mardi 21 septembre 2004 Statut Membre Dernière intervention 2 mai 2009
22 juin 2007 à 13:33

Que dire de plus, moi j'ai envie de noter coucou maintenant ^^
jdalton42 > Quand tu auras le temps, essaye de faire les mises à jour de ton script...

jdalton42 Messages postés 200 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 19 août 2009
21 juin 2007 à 19:26

aaah ok !

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
21 juin 2007 à 18:00

rah...
function : ensemble de depart -> ensemble d'arrive
function : antecedant -> image
image= function(antecedant)
une fonction est injective si deux antecedants arrivent sur la meme image
une fonction est surjective si tout element de l'ensemble d'arrive a un antecedant par la fonction
une fonction est bijective si elle est a la fois injective et surjective

l'ensemble de depart d'une fonction de hash, c'est une suite d'octet sans particularite, son ensemble d'arrive c'est une suite d'octets de taille finnie, cet ensemble a donc un nombre finni d'element (256^taille) ce nombre est appelle cardinal

pour une fonction de cryptage, l'ensemble de depart, c'est un couple compose d'une chaine et d'une struct (rsa a pour clef deux suites d'octets...)(une chaine pour le message et une struct pour la clef) l'ensemble d'arrive est un couple struct chaine : une chaine pour le message crypte, et une struct pour la clef de decryptage...

si tu prends le resultat de ta fonction de crypt ainsi deffinit, alors t'as un seul antecedant, c'est pas vrai avec une fonction de hash puisque l'ensemble de depart a infiniment plus d'elements que l'ensemble d'arrive

c'est la propriete la plus importante des fonctions de hash

audayls Messages postés 373 Date d'inscription samedi 9 juillet 2005 Statut Membre Dernière intervention 11 août 2008
21 juin 2007 à 17:23

Aller JDalton ! un peu de bonne volonté XD

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
21 juin 2007 à 17:19

http://www.google.fr/search?q=differences+between+hash+and+crypt&btnG=Rechercher
http://www.google.fr/search?hl=fr&q=differences+entre+hash+and+crypt&btnG=Rechercher&meta=
pardonne moi, je suis nul en anglais

bon, on va faire de la pub pour kirua :)
http://www.coder-studio.com/?page=tutoriaux_aff&code=autre_4

jdalton42 Messages postés 200 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 19 août 2009
21 juin 2007 à 17:15

mais bien sûr, j'ai tout compris ^^ faut etre bete pour pas savoir sa ^^

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
21 juin 2007 à 17:11

non c'est pas pareil... une fonction de cryptage a une clef, et est reversible, le hash n'est reversible que par bruteforce, et n'a pas de clef... de plus, le cryptage est une bijection de String^2 vers String^2 (couples (clef, message) vers (clef, message)) ou du moins une injection, OR, hash c'est une surjection de String vers char^taille (la taille en octets du hash generee), ce qui s'ignifie que l'ensemble d'arrivee est finni : t'as un nombre finni de possibilites de sorties (alors qu'en crypto, non), pour un nombre infinni d'entrees, ce qui veut dire qu'il existe $a et $b tel que $a!=$b et f($a)=f($b) (f pouvant etre n'importe quelle fonction de hashage) Lorsque l'on trouve deux tels nombres, on dit alors que $a et $b forment une collisions de la dite fonction

jdalton42 Messages postés 200 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 19 août 2009
21 juin 2007 à 17:01

pareil ^^

audayls Messages postés 373 Date d'inscription samedi 9 juillet 2005 Statut Membre Dernière intervention 11 août 2008
21 juin 2007 à 16:58

Ce n'est pas du cryptage, c'est du hachage =P

jdalton42 Messages postés 200 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 19 août 2009
21 juin 2007 à 16:55

TWISTEURWIN > oui je sais mais je ne connaissais pas cette fonction avant de faire le script. ah nan c'est pas un cryptage? c'est quoi alors?

cs_twisteurwin Messages postés 167 Date d'inscription mardi 21 septembre 2004 Statut Membre Dernière intervention 2 mai 2009
21 juin 2007 à 13:22

Jdalton42> Tu as la solution tout au début:(tu compliques tout là)
mysql_real_escape_string()dans ta requête SQL (tbl login et tbl password) devrait suffir !
pour info: md5() ce n'est pas du cryptage ... mais bon ca sert ^^

bonne continuation

jdalton42 Messages postés 200 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 19 août 2009
21 juin 2007 à 11:17

salut,

en faisant un script d'espace membre, j'ai fais ainsi:

$login = AddSlashes(htmlspecialchars($_POST["login"]));
$password = AddSlashes(htmlspecialchars(md5($_POST["password"])));
mysql_query("SELECT * FROM users WHERE login='$login' AND password='$password'");

mais j'ai remarqué que le AddSlashes(htmlspecialchars()) servait a rien sur le password ^^ parce que j'utilise un md5, une tentative d'injection avec un ' OR ''=' marcherai pas puisque ' OR ''=' sera crypté et donnera 6d0212caf1488446bc079f6e150db606 et donc dans la requete sa fera password='6d0212caf1488446bc079f6e150db606'

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
21 juin 2007 à 11:11

les redirections header Location... se font avec des urls absolues
wizad, apparement, il n'avait pas uploade son zip, regarde les mises a jours

sinon, cette source existe deja en 3000 exemplaires, et est comme les autres un extrait de hello world

cs_wizad Messages postés 355 Date d'inscription samedi 30 octobre 2004 Statut Membre Dernière intervention 14 avril 2009
21 juin 2007 à 10:14

Si si les fichier sont bien dans le zip... mais dans un sous-sous-dossier (sur qui doit faire bugger le système de codes-sources). Par contre au niveau du script on à droit à :
- pas moins de 6 fichiers php, un fichier inc contenant les IDs mysql (donc déjà une première faille de sécurité)
- un beau formulaire avec une mise en page en tableau
- fichier finsess.php : Ne jammais faire unset($_SESSION) !!!!! (utiliser : $_SESSION = array() )
- header("index.php"); => header('Location: index.php');
- Manque le fichier login.php
- Aucune protection :
<?
session_start();
if(!isset($_SESSION['login'])) {
echo 'Vous n\'etes pas autoris´ a acceder a cette zone';
include('login.htm');
exit;
}
?>
Là un simple hack de session en précisant une valeur de login arbitraire et l'accès est autorisé.
- remplace <? par <?php

Bon c'est tout ce que j'ai pour l'instant (en même temps j'ai pas détaillé)...

audayls Messages postés 373 Date d'inscription samedi 9 juillet 2005 Statut Membre Dernière intervention 11 août 2008
21 juin 2007 à 10:08

Salut,
=> Si ta requete "Select" est à peu près comme ta requete "INSERT" tu as une superbe faille SQL XD (renseignes toi sur mysql_real_escape_string (http://www.php.net/manual/fr/function.mysql-real-escape-string.php)

=> "header("index.php");" pour une redirection il me semble qu'il faut rajouter "Location:" (ce qui donne "header('Location: index.php');)

> "$login $_POST['login'];" tu ne vérifie pas si la variable est passée ... "if (isset($_POST['login'])) $login = $_POST['login']; else $login = '';"

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
20 juin 2007 à 17:31

ou est le script ? je ne vois rien dans le zip (appercu en ligne) et aucun code...

Discussions similaires

Accès aux réponses d'un QCM dans le code JS

Exemple des projets ou des minis projets en php/POO

[clos] script pour prendre des rendez sur mon site

Script Oracle dans un script sql

Besoin d'aide pour faire un script Greasemonkey

Votre réponse

Discussions similaires