Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1423 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  votre avis sur la sécurité de ce script...

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

votre avis sur la sécurité de ce script...

n°1684778
lilougirl8
Posté le 11-02-2008 à 11:31:36  profilanswer
 

Bonjour,

 

Pourriez vous me dire ce que vous pensez de la sécurité de ce script que j'ai créer qui permet de se loguer et protéger mes pages.

 

Le script de connexion

Code :
  1. <?php
  2. session_start();
  3. $_SESSION['logged'] = 0;
  5. include("".$_SERVER['DOCUMENT_ROOT']."/script_php/fonctions_php/fonction_racine.php" );
  7. if(!empty($_POST['login']) && (!empty($_POST['mdp']))) { 
  9. require("".$racine."/securite/sql/connexion_sql.class.php" );
  11. /*================ CONNEXION A LA BDD =============== */
  12. $connexion = new connexion_sql();
  13. $connexion = $connexion->connexion_PDO();
  14. /*=======================================================*/
  16. $login = trim($_POST['login']);
  17. $pass =  mhash(MHASH_SHA256, trim($_POST['mdp']));
  18. $page_precedente = $_POST['page_precedente'];
  20. $requete_prepare_log = $connexion->prepare("SELECT login, pass, droit FROM admin_membres WHERE login = :login" );
  21. $requete_prepare_log->execute(array(':login', => $login));
  23. if($utilisateur = $requete_prepare_log->fetch(PDO::FETCH_OBJ)) {
  25.   if($pass == $utilisateur->pass) {
  26.    $_SESSION['user'] = $utilisateur;
  27.    $_SESSION['ip_client'] = $_SERVER['REMOTE_ADDR'];
  28.    $_SESSION['HTTP_USER_AGENT'] = mhash(MHASH_SHA256, $_SERVER['HTTP_USER_AGENT']);
  29.    $_SESSION['logged'] = 1;
  30.    $_SESSION['iniated'] = true;
  32.    $requete_prepare_log->closeCursor();
  33.    header("Location:".$page_precedente."" );
  34.    die();
  35.   }
  36.   else {
  37.    $requete_prepare_log->closeCursor();
  38.    header("Location:".$racine_relatif."/admin/login.php?erreur=1" );
  39.    die();
  40.   }
  41. }
  42. else {
  43.  $requete_prepare_log->closeCursor();
  44.  header("Location:".$racine_relatif."/admin/login.php?erreur=1" );
  45.  die();
  46. }
  47. }
  48. else {
  49. header("Location:".$racine_relatif."/admin/login.php?erreur=2" );
  50. die();
  51. }
  52. ?>
 

La fonction a mettre en debut de chaque page

Code :
  1. function page_securite() {
  2. ini_set('session.use_trans_sid', 0);
  3. session_start();
  5. if (!isset($_SESSION['initiated'])) {
  6.     session_regenerate_id();
  7.     $_SESSION['initiated'] = true;
  8. }
  9. if(isset($_SESSION['logged'])) {
  10.  if($_SESSION['logged'] == 1) {
  11.   if(isset($_SESSION['ip_client']) && ($_SESSION['ip_client'] == $_SERVER['REMOTE_ADDR'])) {
  12.    if (isset($_SESSION['HTTP_USER_AGENT'])) {
  13.        if ($_SESSION['HTTP_USER_AGENT'] == mhash(MHASH_SHA256, $_SERVER['HTTP_USER_AGENT'])) {
  14.      if(isset($_SESSION['user'])) {
  15.       return true;
  16.      }
  17.     }
  18.    }
  19.   }
  20.  }
  21. }
  23. return false;
  24. }
 

Sur chaques pages

Code :
  1. if(!page_securite()) {
  2. header(Page d'erreur);
  3. die();
  4. }
  5. else {
  7. On affiche la page
  8. }
 


Je vais ajouter en plus de cela une gestion avec cookies qui me permettre de me souvenir de l'utilisateur.

 

Merci d'avance pour vos avis et critiques


Message édité par lilougirl8 le 11-02-2008 à 11:32:13
mood
Publicité
Posté le 11-02-2008 à 11:31:36  profilanswer
 

n°1684800
yellu
Posté le 11-02-2008 à 12:31:54  profilanswer
 

Sans juger la synthaxe et l'ergonomie du code, je trouve que la volonté de consolider la SESSION PHP via l'ip et user-agent est une bonne chose. :)

n°1684805
lilougirl8
Posté le 11-02-2008 à 12:41:14  profilanswer
 

merci c'est sympa, je compte rajouter un compteur d'attaque en cas de mauvais mot de passe.
 
Par contre, je veux mettre un en place un système de cookie comme indiqué plus haut, comment ça se passe concrètement quand je créer le cookie?
 
Voila ce que je pensai faire :  
 
Lorsque l'utilisateur se connect et que tout c'est bien passé : je créer le cookie login, le cookiee mot de passe,  
 
- Quand l'utilisateur revien sur la page, si le cookie login et pass existe, je vérifie qu'il soit valide (en faisant une requete) et je le connecte automatiquement.
 
C'est ça qu'il faut faire?? j'ai l'impression que il faudrait peut etre augmenter la sécurité à ce niveau la

n°1684806
NewsletTux
&lt;Insérez ici votre vie /&gt;
Posté le 11-02-2008 à 12:41:31  profilanswer
 

pas forcément ... L'UA est facilement modifiable et l'IP peut être masquée ... Donc imo, cela apporte certes un plus mais qui n'est pas synonyme de palier de sécurité.
 
D'autre part, perso je ne vois pas l'intérêt de faire un SELECT pour rapatrier le mot de passe : il vaut mieux imo le laisser dans la BDD (d'autant plus qu'à en lire le script, il n'a pas l'air d'être vérifié à l'heure actuelle)


---------------
NewsletTux - outil de mailing list en PHP MySQL
n°1684809
lilougirl8
Posté le 11-02-2008 à 12:49:55  profilanswer
 

Voilà j'ai rectifier c'est bien ça que tu ma conseillé??

 
Code :
  1. $requete_prepare_log = $connexion->prepare("SELECT login, droit FROM membres WHERE login = :login AND pass = :pass" );
  2. $requete_prepare_log->execute(array(':login' => $login, ':pass' => $pass));
  4. if($utilisateur = $requete_prepare_log->fetch(PDO::FETCH_OBJ)) {
  5.   $requete_prepare_log->closeCursor(); //On ferme le curseur
  7.    $_SESSION['user'] = $utilisateur;
  8.    $_SESSION['ip_client'] = $_SERVER['REMOTE_ADDR'];
  9.    $_SESSION['HTTP_USER_AGENT'] = mhash(MHASH_SHA256, $_SERVER['HTTP_USER_AGENT']);
  10.    $_SESSION['logged'] = 1;
  11.    $_SESSION['iniated'] = true;
  13.    $duree_cookie = time() + 31536000; // valable un an    
  14.    setcookie(); //Cookie Login
  15.    setcookie(); // Cookie Mot de passe
  17.    header("Location:".$page_precedente."" );
  18.    die();
  19. }
  20. else {
  21.  $requete_prepare_log->closeCursor();
  22.  header("Location:".$racine_relatif."/admin/login.php?erreur=1" );
  23.  die();
  24. }
  25. }
  26. else {
  27. header("Location:".$racine_relatif."/admin/login.php?erreur=2" );
  28. die();
  29. }
  

EDIT : MERCI NazzTazz, erreur Corrigée


Message édité par lilougirl8 le 11-02-2008 à 13:01:24

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  votre avis sur la sécurité de ce script...

 

Sujets relatifs
Script bashexecuter script
Modifier un script de compte a rebourCopie de sécurité
Cherche un script pour afficher un fichier csvFaille de sécurité HTML
Mon site, votre avis?htaccess/htpasswd => sécurité fiable?
Script Outlookya t-il un remède à l'erreur 405 pour script CGI ?
Plus de sujets relatifs à : votre avis sur la sécurité de ce script...

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.065 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR