Securiser un site par session et codage du pass envoyé

Soyez le premier à donner votre avis sur cette source.

Vue 16 558 fois - Téléchargée 1 902 fois

Description

Dans le zip se trouvent la base d'un dossier admin qui sert d'exemple a mon système : une page chargé d'acceuillir ceux qui veulent se logger, et les fichiers a inclure dans vos pages php pour vérifier l'état de la session.
Utilisez de préférence require_once() pour éviter les doublons.
Détails :
Sur la page d'acceuil, lors de la validation du formulaire le mot de passe est placé après le no du jour du mois, et encodé en md5. Quand le serveur reçoit ces données, il extraie le mdp de la base de données, lui ajoute le no du jour du mois, et code aussi en md5. Il compare les 2 chaines md5 et si elles sont équivalentes, valide la connexion. L'adresse ip est alors placée dans une variable de sessions.
Ensuite, sur toutes les pages a sécurisé il faut appeler admin_checksession(true) qui se chargera de laisser passer le client si tout va bien, ou de le renvoyer a la page de login dans le cas contraire(il faut appeler cette fonction avant toute sortie html pour l'envoie de l'en-tète).
Ensuite, il suffit de faire un lien sur closeadmin.php pour fermer la session(on peut utiliser admin_closelink() ou admin_toppanel($title) pour rajouter rapidemment un lien de déconnexion).

Conclusion :


Voila, les pages d'exemples devrait largement suffire pour comprendre le principe(mème si la page loginadmin.php est un peu bordelique je dois avouer :p)
C'est ma première source, et la partie d'envoie du mdp codé a été grandement inspirée par une autre source de ce site(sur laquelle j'avais fait de joli commentaires erronés ;) )

ps:bien sur, lorsque le mdp du formulaire est passé au md5 dans le champ cachée, le mdp original de la boite de texte est modifié, pour ne pas l'envoyer en clair en mème temps que le mdp crypté :p

Codes Sources

A voir également

Ajouter un commentaire Commentaires
Messages postés
6
Date d'inscription
samedi 15 février 2003
Statut
Membre
Dernière intervention
13 mars 2006

il est beaucoup plus simple de piraté un site que de le construire, moi, je suis le premier particulier à avoir déposé plainte contre piratage.

J'ai trouvé une solution très très simple, et là, tout les petits cons de pirates du dimanche peuvent se lever et courir et loin en plus, car mon fichier "admin.php" n'existe plus dès que je fait mes mises à jours, et là, les cocos du dimanche, ben que dalle, ils sont fort simplement en appliquant un programme qu'un informaticien verreux a mis à disposition.
Si c'est cela faire de l'informatique, excusez moi du peut, mettez vous au tricot ou éviter plutôt vous risqueriez de vous croeuver les yeux.
A bon entendeur .....
Messages postés
254
Date d'inscription
mardi 25 mars 2003
Statut
Membre
Dernière intervention
4 février 2006

C clair revinc, au lieu de te la peter, propose une source corrige.
Messages postés
122
Date d'inscription
mercredi 19 décembre 2001
Statut
Membre
Dernière intervention
5 janvier 2009

trés trés constructif comme message..
quel est l'interet d'un tel message.
si tu prend des cours et que le prof te traite juste d'abruti..
soit tu le tarte soit tu le prend pour une merde et tu l'écoute pas... je pense pas que tu soit comme ca (revinc)..
alors soyons constructif.. et présentons les problémes rencontrés dans une sources..
c'est comme ca qu'on évolue en groupe..
bonne soirée à tous.
Messages postés
385
Date d'inscription
mardi 15 octobre 2002
Statut
Membre
Dernière intervention
19 décembre 2017

Je t'ai dit comment trouver les failles sur tes sources : injection SQL. Tu trouveras davantage de précisions sur google ; et t'as tout ton fichier admin_i.php à corriger.
A moins que magic_quotes_gpc soit à 1 dans php.ini. Correction donc : ton système à 50% de chances de pouvoir être hacké (dépend de la configuration du serveur).
Messages postés
385
Date d'inscription
mardi 15 octobre 2002
Statut
Membre
Dernière intervention
19 décembre 2017

Je t'ai dit comment trouver les failles sur tes sources : injection SQL. Tu trouveras davantage de précisions sur google ; et t'as tout ton fichier admin_i.php à corriger
Afficher les 9 commentaires

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.