Securiser un site par session et codage du pass envoyé
Description
Dans le zip se trouvent la base d'un dossier admin qui sert d'exemple a mon système : une page chargé d'acceuillir ceux qui veulent se logger, et les fichiers a inclure dans vos pages php pour vérifier l'état de la session.
Utilisez de préférence require_once() pour éviter les doublons.
Détails :
Sur la page d'acceuil, lors de la validation du formulaire le mot de passe est placé après le no du jour du mois, et encodé en md5. Quand le serveur reçoit ces données, il extraie le mdp de la base de données, lui ajoute le no du jour du mois, et code aussi en md5. Il compare les 2 chaines md5 et si elles sont équivalentes, valide la connexion. L'adresse ip est alors placée dans une variable de sessions.
Ensuite, sur toutes les pages a sécurisé il faut appeler admin_checksession(true) qui se chargera de laisser passer le client si tout va bien, ou de le renvoyer a la page de login dans le cas contraire(il faut appeler cette fonction avant toute sortie html pour l'envoie de l'en-tète).
Ensuite, il suffit de faire un lien sur closeadmin.php pour fermer la session(on peut utiliser admin_closelink() ou admin_toppanel($title) pour rajouter rapidemment un lien de déconnexion).
Voila, les pages d'exemples devrait largement suffire pour comprendre le principe(mème si la page loginadmin.php est un peu bordelique je dois avouer :p)
C'est ma première source, et la partie d'envoie du mdp codé a été grandement inspirée par une autre source de ce site(sur laquelle j'avais fait de joli commentaires erronés ;) )
ps:bien sur, lorsque le mdp du formulaire est passé au md5 dans le champ cachée, le mdp original de la boite de texte est modifié, pour ne pas l'envoyer en clair en mème temps que le mdp crypté :p
Utilisez de préférence require_once() pour éviter les doublons.
Détails :
Sur la page d'acceuil, lors de la validation du formulaire le mot de passe est placé après le no du jour du mois, et encodé en md5. Quand le serveur reçoit ces données, il extraie le mdp de la base de données, lui ajoute le no du jour du mois, et code aussi en md5. Il compare les 2 chaines md5 et si elles sont équivalentes, valide la connexion. L'adresse ip est alors placée dans une variable de sessions.
Ensuite, sur toutes les pages a sécurisé il faut appeler admin_checksession(true) qui se chargera de laisser passer le client si tout va bien, ou de le renvoyer a la page de login dans le cas contraire(il faut appeler cette fonction avant toute sortie html pour l'envoie de l'en-tète).
Ensuite, il suffit de faire un lien sur closeadmin.php pour fermer la session(on peut utiliser admin_closelink() ou admin_toppanel($title) pour rajouter rapidemment un lien de déconnexion).
Conclusion :
Voila, les pages d'exemples devrait largement suffire pour comprendre le principe(mème si la page loginadmin.php est un peu bordelique je dois avouer :p)
C'est ma première source, et la partie d'envoie du mdp codé a été grandement inspirée par une autre source de ce site(sur laquelle j'avais fait de joli commentaires erronés ;) )
ps:bien sur, lorsque le mdp du formulaire est passé au md5 dans le champ cachée, le mdp original de la boite de texte est modifié, pour ne pas l'envoyer en clair en mème temps que le mdp crypté :p
Codes Sources
A voir également
- Securiser un site par session et codage du pass envoyé
- Modele site internet - Conseils pratiques -PHP
- Accueil nouveautés "inscrire un site" contact admin - Forum PHP
- Tag ip session - Forum PHP
- Création d'un compte Admin ✓ - Forum C# / .NET
- Sécuriser l'authentification avec session ✓ - Forum C# / .NET
Vous n'êtes pas encore membre ?
inscrivez-vous, c'est gratuit et ça prend moins d'une minute !
Les membres obtiennent plus de réponses que les utilisateurs anonymes.
Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.
Le fait d'être membre vous permet d'avoir des options supplémentaires.