Arto_8000
Messages postés1044Date d'inscriptionlundi 7 mars 2005StatutMembreDernière intervention13 juillet 2010
-
3 avril 2009 à 22:21
Malyo_Francisco -
26 avril 2018 à 10:17
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
jadu
Messages postés217Date d'inscriptionmercredi 26 juillet 2006StatutMembreDernière intervention16 août 2018 13 avril 2009 à 15:11
tu as raison Arto_8000 !
moi je n'arrête pas d'apprendre des tas de trucs rien qu'en lisant les commentaires "rectificatifs" et "informatifs" de Codes sources ! J'ai mis une fois un code, je suis loin d'en replacer un autre car je n'avance pas vite, mais grace à CS je sais que je progresse !
Merci encore de ne pas être "gentil" !
Arto_8000
Messages postés1044Date d'inscriptionlundi 7 mars 2005StatutMembreDernière intervention13 juillet 20107 7 avril 2009 à 02:16
JWalter57370 -> C'est très facile à contourner une redirection forcée (si tu utilises telnet tu vois tout le contenu en clair ou tu peux juste regarder le traffic avec Wireshark).
Pour le reste, vaut mieux montrer où sont les points faibles que de faire comme si tout était parfait. Si personne nous montre nos points faibles, on va toujours avoir les mêmes points faibles et on ne s'améliorera pas.
cs_nino31
Messages postés17Date d'inscriptionjeudi 6 mars 2008StatutMembreDernière intervention29 avril 2013 7 avril 2009 à 00:08
Lol, le pôôôvre !
cs_jlbrenas
Messages postés43Date d'inscriptionvendredi 31 mai 2002StatutMembreDernière intervention 6 avril 2009 6 avril 2009 à 12:11
Bonjour,
J'ai voulu essayer ton script, mais il est très incomplet et surtout ce n'est pas une interface administrateur.
C'est un simple kit graphique sans prétention.
Cordialement.
jwalter57370
Messages postés11Date d'inscriptionjeudi 4 décembre 2008StatutMembreDernière intervention 6 avril 2009 6 avril 2009 à 09:11
Arto à partiellement raison.
Effectivement, ton script ne répond pas aux bases élémentaires de la sécurisation des scripts, surtout pour une interface d'administration.
Par contre, je ne crois pas qu'une redirection http via Header puisse être ignoré. Mais pour amélioré un peu la sécurité au niveau des redirections, il faudrait que tu rajoute un "exit(1);" juste après ton "Header(Location: ...)". Cela permet de d'assurer que plus aucun code php ne sera exécuté après la redirection.
Après je n'ai pas regardé en détail mais il y a encore des choses à faire avant d'obtenir un code propre et sécurisé (faire des indentations correctes et vérifier/sécuriser les données envoyés par un utilisateur via les champs de formulaires, ...)
Arto_8000
Messages postés1044Date d'inscriptionlundi 7 mars 2005StatutMembreDernière intervention13 juillet 20107 3 avril 2009 à 22:21
Ton script est très loin d'être sécurisé et la "protection" qu'il y a ne fait absolument rien.
Premièrement, il y a une injection SQL possible dans ton login.
Deuxièmement, tu comprends très mal ce que la fonction header fait. header rajoute une entête dans la réponse envoyé au client. Elle n'arrête pas le code d'apparaître dans la page et va quand même retourner tout le code qui suit l'instruction. En gros, ce que ta page "sécuriser" fait, c'est affiché tout le contenu de la page "sécuriser" et tu dis au client ne regarde pas ce que je t'envoie et va à la page "index.php". Le client peut tout simplement ignorer ta redirection et faire ce qu'il veut sur ta page d'administration.
26 avril 2018 à 10:17
13 avril 2009 à 15:11
moi je n'arrête pas d'apprendre des tas de trucs rien qu'en lisant les commentaires "rectificatifs" et "informatifs" de Codes sources ! J'ai mis une fois un code, je suis loin d'en replacer un autre car je n'avance pas vite, mais grace à CS je sais que je progresse !
Merci encore de ne pas être "gentil" !
7 avril 2009 à 02:16
Pour le reste, vaut mieux montrer où sont les points faibles que de faire comme si tout était parfait. Si personne nous montre nos points faibles, on va toujours avoir les mêmes points faibles et on ne s'améliorera pas.
7 avril 2009 à 00:08
6 avril 2009 à 12:11
J'ai voulu essayer ton script, mais il est très incomplet et surtout ce n'est pas une interface administrateur.
C'est un simple kit graphique sans prétention.
Cordialement.
6 avril 2009 à 09:11
Effectivement, ton script ne répond pas aux bases élémentaires de la sécurisation des scripts, surtout pour une interface d'administration.
Par contre, je ne crois pas qu'une redirection http via Header puisse être ignoré. Mais pour amélioré un peu la sécurité au niveau des redirections, il faudrait que tu rajoute un "exit(1);" juste après ton "Header(Location: ...)". Cela permet de d'assurer que plus aucun code php ne sera exécuté après la redirection.
Après je n'ai pas regardé en détail mais il y a encore des choses à faire avant d'obtenir un code propre et sécurisé (faire des indentations correctes et vérifier/sécuriser les données envoyés par un utilisateur via les champs de formulaires, ...)
3 avril 2009 à 22:21
Premièrement, il y a une injection SQL possible dans ton login.
Deuxièmement, tu comprends très mal ce que la fonction header fait. header rajoute une entête dans la réponse envoyé au client. Elle n'arrête pas le code d'apparaître dans la page et va quand même retourner tout le code qui suit l'instruction. En gros, ce que ta page "sécuriser" fait, c'est affiché tout le contenu de la page "sécuriser" et tu dis au client ne regarde pas ce que je t'envoie et va à la page "index.php". Le client peut tout simplement ignorer ta redirection et faire ce qu'il veut sur ta page d'administration.
Lien utile :
http://fr.wikipedia.org/wiki/Injection_SQL
http://ca3.php.net/header