SÉCURITÉ : EVITER LES INJECTIONS SQL ET LES ACCÈS AUX PAGES SANS AUTORISATIONS S
malalam
Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Membre
Dernière intervention
2 mars 2010
-
6 oct. 2007 à 23:02
phpajax Messages postés 27 Date d'inscription lundi 8 octobre 2007 Statut Membre Dernière intervention 17 octobre 2007 - 9 oct. 2007 à 20:51
phpajax Messages postés 27 Date d'inscription lundi 8 octobre 2007 Statut Membre Dernière intervention 17 octobre 2007 - 9 oct. 2007 à 20:51
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/44294-securite-eviter-les-injections-sql-et-les-acces-aux-pages-sans-autorisations-special-popup
https://codes-sources.commentcamarche.net/source/44294-securite-eviter-les-injections-sql-et-les-acces-aux-pages-sans-autorisations-special-popup
9 oct. 2007 à 20:51
je vais etre bref;
la page authentification.php (verification du login et mdp):
<?php (ou <?, je vois pas la différence)
function password_encode($filter, $str)
{
$filter = md5($filter);
$letter = -1;
$newpass = '';
$strlen = strlen($str);
for ( $i = 0; $i < $strlen; $i++ )
{
$letter++;
if ( $letter > 31 )
{
$letter = 0;
}
$neword = ord($str{$i}) + ord($filter{$letter});
if ( $neword > 255 )
{
$neword -= 256;
}
$newstr .= chr($neword);
}
return base64_encode($newstr);
}
$username = $_POST['username'];
$password = $_POST['password'];
$filtre= "toto";
$log_enc=password_encode($filtre, $username);
$mdp_enc=password_encode($filtre, $password);
?>
<SCRIPT language="JavaScript1.1">
larg = screen.width;
haut = screen.height;
fen = window.open("popup.php?code1=<?echo$log_enc;?>&code2=<?echo$mdp_enc;?>",'page',
'toolbar=0, location=0, directories=0, status=0, scrollbars=1, resizable=0, copyhistory=0, menuBar=0,fullscreen=0,width='+screen.width+', height='+screen.height);
</SCRIPT>
page popup.php
<title></title>
<?
$log_enc=$_GET['code1'];
$mdp_enc=$_GET['code2'];
?>
<FRAMESET COLS="125,*" FRAMEBORDER="no" BORDER="0" FRAMESPACING="0">
<FRAME SRC="menu.html" name="gauche" scrolling=no>
<FRAME SRC="accueil.php?code1=<?echo$log_enc;?>&code2=<?echo$mdp_enc;?>" name=corps>
</FRAMESET>
</FRAMESET>
accueil.php:
<?php
session_start();
$log_enc= $_GET['code1'];
$mdp_enc= $_GET['code2'];
$_SESSION['login']=$log_enc;
$_SESSION['mdp']=$mdp_enc;
?>
<script language=javascript>
window.location.replace("page1.php");
</script>
là j'ai réussi a mettre en session le login et le mot de passe, en crypté
je vous laisse deviner la suite ;)
merci a MERKHALED pour les fonctions de cryptage/décryptage ca été très utile
9 oct. 2007 à 20:38
Bon...on arrête les commentaires n'ayant aucun rapport avec ce code.
PHPAJAX, t'en es où de tes déboires avec les sessions ?
9 oct. 2007 à 20:32
(il parait que nix n'aime pas que les admins suppriment trop de codes (il parait) )
9 oct. 2007 à 14:40
Non ce n'est pas nouveau, ça a tjrs été ainsi.
Oui il y a un anti-flood.
9 oct. 2007 à 14:01
c'est nouveau ca nan ?
Sinon (j'ai pas testé pour pas polluer) mais est-ce qu'il y a un laps de temps entre deux posts de commentaires ? car ca risque de vite flooder nos boites non ?
9 oct. 2007 à 13:53
Mais ça peut l'être dans d'autres cas. Mais oui...en effet, il y a toujours la suppression du code si les choses n'avancent pas dans le bon sens. Ou des commentaires...
9 oct. 2007 à 08:57
Cette discussion n'a pas lieu d'être ici, mais plutot dans un forum... a mon avis ...
8 oct. 2007 à 23:13
Mais "up" DANS un commentaire, c'est stupide, PHPAJAX. Le site ne t'obéit pas en remontant ton thread en haut...t'es pas sur un forum, et au cas où tu ne l'aurais pas remarqué, les codes ne bougent jamais de place. Quoi que tu fasses.
8 oct. 2007 à 23:01
8 oct. 2007 à 22:59
function password_decode($filter, $str)
{
$filter = md5($filter);
$letter = -1;
$newstr = '';
$str = base64_decode($str);
$strlen = strlen($str);
for ( $i = 0; $i < $strlen; $i++ )
{
$letter++;
if ( $letter > 31 )
{
$letter = 0;
}
$neword = ord($str{$i}) - ord($filter{$letter});
if ( $neword < 1 )
{
$neword += 256;
}
$newstr .= chr($neword);
}
return $newstr;
}
function password_encode($filter, $str)
{
$filter = md5($filter);
$letter = -1;
$newpass = '';
$strlen = strlen($str);
for ( $i = 0; $i < $strlen; $i++ )
{
$letter++;
if ( $letter > 31 )
{
$letter = 0;
}
$neword = ord($str{$i}) + ord($filter{$letter});
if ( $neword > 255 )
{
$neword -= 256;
}
$newstr .= chr($neword);
}
return base64_encode($newstr);
}
// exemple d'utilisation :
$str = 'Salut ça va ?';
echo 'phrase d\'origine : ' , $str , '
';
$str1 = password_encode('mot de passe', $str);
echo 'encodage en utilisant le mot de passe "mot de passe" : ' , $str1 , '
';
$str = password_decode('mot de passe', $str1);
echo 'décodage de ' , $str1 , ' avec le bon mot de passe : ' , $str , '
';
$str = password_decode('mot de passe2', $str1);
echo 'décodage de ' , $str1 , ' avec le mot de passe "mot de passe2" : ' , $str , '
';
?>
8 oct. 2007 à 22:45
quelqun aurait une idée pour une fonction de crypatage?
coucou747, up ! et merci pour tes commentaires tres constructifs !
8 oct. 2007 à 22:28
coucou747, tu aurait peut etre une explication ? ou une solution? sachant que les variables session sont le pseudo et le mot de passe, et que je préfère pas les envoyer dans l'url.
8 oct. 2007 à 22:20
comme plus haut j'ai compris qu'il etait pas sur de sa config (de PHP), je me demander si il pouvait pas essayer sur un serveur tel que free? par exemple!
mais bon PHPAJAX tu as donc la main sur la config de ton serveur, puisqu'il t'est dedier.
la ou je bosse, il modifie la config du serveur de temps a autre, je bosse aussi a la maison et un beau jour les sess ne marchaient plus a mon taff, apres une journée a retourner mon code je me suis rendue compte que la config de PHP avait changé, aprés explication a l'admin de la boite (qui capte pas grand choses au PHP) et modif tout est rentré dans l'ordre.
voili...voilou
8 oct. 2007 à 22:06
en local ou ailleur, ca change quoi ? c'est pas le fait que la machine appartienne a une entreprise qui fait quel est l'os, et quel est la version de php, ni sa conf... bref...
8 oct. 2007 à 22:05
8 oct. 2007 à 22:03
8 oct. 2007 à 21:54
malalam ca marche chez toi ??? c'est que le probleme vient de ma config de php ?
8 oct. 2007 à 21:50
8 oct. 2007 à 21:48
{MANQUE}
test_popup.php :
<FRAMESET COLS="125,*" FRAMEBORDER="no" BORDER="0" FRAMESPACING="0">
<FRAME SRC="page1.php" name="gauche" scrolling=no>
<FRAME SRC="page2.php" name=corps>
</FRAMESET>
</FRAMESET>
-------------------
{MANQUE} = session_start();
avec ca tu devrais avoir moins de probleme
8 oct. 2007 à 21:46
8 oct. 2007 à 21:45
la solution de MERKHALED, c'est du bricolage, mais ca fonctionne, c'est une bonne technique qd meme ... :/
8 oct. 2007 à 21:44
J'ai bien "test" qui s'affiche dans ma popup dans la frame page1.php.
8 oct. 2007 à 21:16
<?
session_start();
#print_r($_SESSION);
$_SESSION['test']='test';
?>
test
------------------
test_popup.php :
<FRAMESET COLS="125,*" FRAMEBORDER="no" BORDER="0" FRAMESPACING="0">
<FRAME SRC="page1.php" name="gauche" scrolling=no>
<FRAME SRC="page2.php" name=corps>
</FRAMESET>
</FRAMESET>
-------------------
page1.php:
<?
session_start();
$toto=$_SESSION['test'];
echo $toto;
?>
la variable toto est vide !
8 oct. 2007 à 21:11
8 oct. 2007 à 21:02
8 oct. 2007 à 20:58
8 oct. 2007 à 20:51
echo $_SESSION['test'];
mais si je met des frames :
<FRAMESET COLS="125,*" FRAMEBORDER="no" BORDER="0" FRAMESPACING="0">
<FRAME SRC="page1.php" name="gauche" scrolling=no>
<FRAME SRC="page2.php" name=corps>
</FRAMESET>
</FRAMESET>
j'ai plus accès aux sessions dans la page1.php et page2.php
:s
down ;)
8 oct. 2007 à 20:34
session_start();
print_r($_SESSION);
$_SESSION['test']='test';
?>
test
chez moi ca marche parfaitement...
8 oct. 2007 à 20:25
8 oct. 2007 à 19:21
au passage, le serv ne sait pas que c'est un popup, et les sessions, c'est sur le serv, faut juste que le client renvoi le cookie, je serais etonne qu'un client ne fasse pas suivre de cookie pour les ouvertures de popups... au pire, tu gardes le phpsessid en le passant par get...
8 oct. 2007 à 18:37
Impossible que cela ne fonctionne pas sinon.
8 oct. 2007 à 18:29
8 oct. 2007 à 18:26
Meuh non.
Tu perds tes variables de session dans ton popup parce que tu oublies de faire un session_start() dans la page appelée par le popup, c'est tout.
Et on se calme messieurs, svp.
8 oct. 2007 à 18:02
Il peut se le permettre à mon avis à la vue de ses compétences et du code que tu fournis...
8 oct. 2007 à 17:04
8 oct. 2007 à 17:01
et je up si j'ai envie, j'apprécie pas trop la manière dont tu m'as répondu ... toi qui est si intélligent ! !
7 oct. 2007 à 13:07
quand a ton "up", t'es pas le seul a le faire, je te demande simplement d'eviter d'encombrer nos boites mails pour rien... c'est pas un procede intelligent que de dire "up" juste pour qu'on s'occupe de toi...
7 oct. 2007 à 00:41
Si j'ai bien compris l'idée, et je veux bien croire que ton code marche chez toi (sinon il ne serai pas en ligne), mais alors quel est l'intérêt de mettre un code qui ne marche pas "j'ai pas donne un code qui marche" ?
Je dit pas ca pour te descendre, mais si je suis monsieur qui débute en php et qui cherche à proteger une page, je tombe sur ton script, et je passe 3 jours à comprendre pourquoi il ne marche pas. Ou est l'intérêt ? Le but de mettre des codes, c'est pour pouvoir les réutiliser par la suite, et là ce n'est pas le cas.
Concrètement, si on veut parler de ton idée, elle n'est pas bonne sur plusieurs points. Outre les points déjà abordés (par moi et Malalam), il y a le probleme de compatibilité ; si ca ne marche que sur IE, c'est encore plus restrictif comme code. En plus, il faut que l'utilisateur ait le javascript d'activé. Ok il y en a de plus en plus, mais il reste encore des visiteurs qui ont bloqués leur javascript.
Il y a peut-être un point à travailler, mais pour le moment, c'est pas utilisable
7 oct. 2007 à 00:10
6 oct. 2007 à 23:41
6 oct. 2007 à 23:37
regarde la demo sur http://ns25643.ovh.net/ , ca ne marche que sous IE, et il faut que tu authorise les popup.
et je pari que tu pourra pas afficher des pages (qui communiquent avec la bdd) de ce site, sans passer par le popup, c'est à dire sans se logger correctement.
6 oct. 2007 à 23:27
Il faut travailler sur les sessions, c'est apparement l'une des meilleures solutions pour le moment.
Niveau 'travail sur la sécurité', il n'y a pas de rapport comme dirait Malalam.
A vrai dire il n'y a pas vraiment de sécurités complètement sures pour une protection de fichier / repertoire (outre le htaccess). Les sessions peuvent être détournée, une ip aussi, etc...
Pour ton code, il y a des choses bizarres, dans ta popup, tu utilise la variable $code et $mon_ip ainsi que la resource sql n'ont pas été crées donc si je reprends ton code comme celui que tu a donné, ca ne marchera pas.
Les codes comme celui ci sont déjà légions sur phpcs, si tu veux te faire remarquer, essaye de faire un code qui dépasse celui des autres, sinon il tombera dans le code basique et sera supprimé, ce qui est compréhensible.
Re-travaille dessus et met-le à jour, ca peux aboutir à quelque chose d'efficace.
Par contre, change de titre :p
6 oct. 2007 à 23:23
--------------------------
<SCRIPT LANGUAGE="JavaScript">
var test=top.parent.gauche;
if(!test)
{
top.window.location.replace("intru.php");
}
else
if(top.parent.gauche.document.getElementById("droit").value!="1")
{
top.window.location.replace("intru.php");
}
</script>
6 oct. 2007 à 23:21
le frame se lance avec le passage du code en GET, je le récupère dans la frame du menu, et je verifie dans la bdd si ce code est "validé" ou pas, s'il est validé, c'est qu'il a deja été utilisé, et donc je met un et s'il na pas été activé, je met et je met a jour la bdd (jactive la clé),
dans toutes les pages, si jai besoin dune connection a la bdd, jai un include(connect.php) qui contient les infos de connections, et aussi qui vérifie si top.parent.getElementById("droit").value==1 ou sinon redirection vers intru.php ;), donc pour avoir la connection a la bdd, il faut etre dans la frame qui se lance de mon site, et avec un code de verification. jespère que j'été clair :)
6 oct. 2007 à 23:02
ça n'a aucun rapport avec les injections SQL ton truc.
Et dans les pages à accès restreint, tu fais quoi au juste? Ton code est très incomplet, là.
En l'état, je vois mal l'avantage par rapport à une technique plus classique de session, ou de HTTP Realm.