Classe de sécurisation de pages. [php 5]

0/5 (10 avis)

Snippet vu 10 013 fois - Téléchargée 27 fois

Commenter

Contenu du snippet

Cette classe sert a créer une authentification de type htaccess très simplement en l'instanciant uniquement.
Les login pass sont définits dans un tableau à l'interieur du script.
Elle a été crée dans le but de bloquer l'accès a une page uniquement aux ip non mentionnées dans le code.
Pour verrouiller l'acces a tout le monde, ne rien mettre ds le tableau ;)

Note: cette classe fonctionne uniquement en PHP5.

Source / Exemple :

<?php
/**

  Permet de créer un htaccess si l'ip est différete de localhost 
  ou de mon ip personnelle
  @author Tewfik 
  @copyright  Open Source :)
 /
class securite
{
	/**

	  init de la varable ip
	 *

	  @var NULL
	 /
	protected $ip = NULL;
	/**

	  définitions des acces login/pass
	 *

	  @var array
	 /
	private $identifiants = array(
	'admin:azerty',
	'invite:invite'
	);
	/**

	  liste des ip autorisées
	 *

	  @var array
	 /
	protected $liste = array(
	'127.0.0.1',
	'123.456.789.000'
	);
	
	
	/**

	  constructeur de la classe
	  
	 /
	public function __construct()
	{
		$this->ip = $_SERVER['REMOTE_ADDR'];
			if (! in_array($this->ip,$this->liste)) //si l'ip est pas ds la liste
			{
				if( !isset($_SERVER['PHP_AUTH_USER']) && !isset($_SERVER['PHP_AUTH_PW']) )  //si on a pas de login pass
				{
					self::auth(); //on affiche la boite de dialog
				}
				else 
				{
					//si les login/pass sont Faux!
					if( !in_array("{$_SERVER['PHP_AUTH_USER']}:{$_SERVER['PHP_AUTH_PW']}",$this->identifiants)) //aucune encription si il vous ne faut une, il faut crypter les mdp ds le tableau de définition et appliquer une fonction d'encryption a {$_SERVER['PHP_AUTH_PW']} pour la comparaison des deux chaines
					self::auth(); //on affiche encore la boite de login
				}
		}
	}
	
	/**

	  fonction qui affiche la boite de dialogue login/mdp
	 *

	 /
	public function auth()
	{
		$royaume="Authentification"; 
		header("WWW-Authenticate: Basic realm='$royaume'"); //on envoie le header  de demande d'identification en premier pke sinon Ie comprend rien
		header("HTTP/1.0  401  Unauthorized"); // et on envoie le code 401 qui s'affichera si on annule
		echo "<fieldset><legend>Erreur: </legend>Vous ne pouvez accéder à cette page</fieldset>"; // et la on affiche le message d'erreur
		exit; //et on empeche la suite du script
	}
}
?>

Conclusion :

C'est ma première classe en PHP5 si vous y voyez des incohérences au niveau des PPP faites m'en part en commentaires :)

pour l'utiliser il suffit de faire cela au début de la page a sécuriser:
<?php
include( 'securite.php' ); //si vous avez mis mon script dans un fichier nommé securite.php
new securite();
?>

A voir également

Classe de sécurisation de pages. [php 5]
PHP : [php 5] classe sql - CodeS SourceS - Guide
Class php 5 pour chargement et redimensionnement d'images (si nécéssaire, pour les formats supportés - Codes sources - PHP (Class et Objet ( POO ))
PHP : Garder les paramètres d'une class à travers plusieurs pages. - CodeS SourceS - Guide
PHP : Php 5 classe de log paramétrée par un fichier xml - CodeS SourceS - Guide
Php 5 classes de redirection des exceptions dans un système de log - Codes sources - PHP (Class et Objet ( POO ))

Ajouter un commentaire Commentaires

Realproject

Messages postés: 2
Date d'inscription: mardi 18 décembre 2001
Statut: Membre
Dernière intervention: 24 avril 2006

19 avril 2006 à 16:49

hello tlm

Merci pour vos commentaires des que j'aurais un peu de temps jme pencherais sur vos idées et jv voir pour y mettre des fonctionnalité en plus tel que le chiffrement et qussi je vais modifier la classe pour pouvoir l'appler de façon statique. je pense aussi sortir les tableaux de logins/pass et des ip afin de permettre a tlm de travailler avec la classe sans a avoir a modifier le fichier.

bonne semaine :)
Tewfik

TheSin

Messages postés: 331
Date d'inscription: mardi 12 novembre 2002
Statut: Membre
Dernière intervention: 10 février 2009

18 avril 2006 à 16:00

C'est bien ce que je disais lol
c'est tout à fait logique de faire comme ça et pas très logique de dire que c'est illogique ...

kankrelune

Messages postés: 1293
Date d'inscription: mardi 9 novembre 2004
Statut: Membre
Dernière intervention: 21 mai 2015

17 avril 2006 à 16:41

@ theSin... si c'est tout à fait logique...

// si la variable serveur n'est pas renseignée on déclenche l'authentification
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');

// la deux solutions soit l'internaute renseigne les champs et valide à ce moment la la page se recharge... soit il annule et donc l'éxécution suit son cours et il tombe sur l'erreur 401

Pour ce qui est duscript je suis un peu comme Anthomicro en l'état je ne vois pas trop l'interet d'une class... mais en l'améliorant ça peut devenir interessant... comme améliorantion je verrais bien...

- Possibilitée de délogger l'internaute (sachant que ça ne marche pas avec tous les navigateurs)

- Adaptation pour que l'authentification fonction avec Apache ou IIS ($_SERVER['HTTP_AUTHORIZATION'] pour IIS)

- Eventuellement haschage du pass pour la comparaison et le stockage voir haschage ou cryptage du pass dans $_SERVER['PHP_AUTH_PW'] pour qu'il ne transit pas en clair mais bon c'est pas pour la sécu en plus que ça apporte... .. .

@ tchaOo°

cs_Anthomicro

Messages postés: 9433
Date d'inscription: mardi 9 octobre 2001
Statut: Membre
Dernière intervention: 13 avril 2007

9
17 avril 2006 à 11:39

Salut,

même si le code est propre, je vois pas l'intérêt de faire de l'objet pour ça, ça ralentit le script inutilement. Une petite fonction que tu inclus et que tu appelles, et hop c'est torché, en plus efficace :-)

Je mets 9/10 pour le code.

a +

TheSin

Messages postés: 331
Date d'inscription: mardi 12 novembre 2002
Statut: Membre
Dernière intervention: 10 février 2009

17 avril 2006 à 09:01

moi je trouve ca logique pourtant.
pour moi, avant de renvoyer qu'on est pas autorisé, il faut d'abord demander qui veut accéder à la page ... surtout si on ne sait pas qu'il a appuyé sur le bouton annuler. (c'est d'ailleurs pour pouvoir gérer l'erreur, non ?)
ou alors j'ai pas tout saisi ...

par contre, evite de faire des erreurs dans tes exemples stp, parce que t'as envoyé du header après du html ;-)

Afficher les 10 commentaires

S'inscrire maintenant

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Source / Exemple :

Conclusion :

A voir également

Vous n'êtes pas encore membre ? inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !