Votre avis sur mon systéme de session Fermé

Question

Bonjour, Je vais maitre un petit système de session sur mon site et j'aimerais avoir votre avis sur le le code concernent l'efficacité et aussi la sécurité. index.php Bonjour '; echo $donnees['pesdo']; echo '
Déconnection';} else{ echo 'Bonjour, vous n\'ete pas connecter !

'; echo '
Connection';} } else{ echo 'Bonjour, vous n\'ete pas connecter !

'; echo '
Connection'; } ?> login.php actionlog.php
'; $mdp= mysql_real_escape_string(htmlspecialchars($_POST['mdp'])); if ($donnees['mdp'] == $mdp) { echo 'Mot de passe OK !'; mysql_query("UPDATE t_compt_2 set statut='1' WHERE login='$login'"); setCookie("supercookie1",$donnees['pesdo']); setCookie("supercookie2",$donnees['login']); header("Refresh: 1; URL=./index.php"); } else{ echo 'Mot de passe erroné !'; } } else { echo 'Login ou mot de passe erroné !'; } ?> deco.php Vous avez été déconnecté !'; header("Refresh: 1; URL=./index.php"); ?>

P@t@ch0n · Answer

Ta connexion par cookie est foireuse, en l'état, n'importe qui peut se connecter sur n'importe quel compte.

Pour ta connexion par form, tu ne dois pas indiquer si le login est ok si le mot de passe est faux.
Un mot de passe, ça se hashe, on ne le stocke jamais en clair dans une bdd.

Pourquoi tu utilises htmlspecialchars avant de passer tes variabls dans tes requetes ?
htmlspecialchars ne sert qu'à l'affichage.

C'est quoi la différence entre login et pesdo ?
Pas bien saisi.

Il sert à quoi le second cookie ?

Hormi · Answer

bonjour

il y a 2 cookie 1 pour le login et un autre pou le mots de passe

Pour moi un login est un identifien comme un numero de serrie 

    pseudo = hormi
    login = 1524moerfger121
    mdp = 13651fve321321

Hormi · Answer

quelqu'un peut il m' aidé a sortir des script un peux plus sécurise ?

avion-f16 · Answer

Même la connexion est foireuse.
Je n'ai pas testé mais essayes avec un espace ou même rien du tout.

Hormi · Answer

se système marche chez moi, je voudrais juste un cout de main pour faire mieux et que l'on m'explique les erreurs

avion-f16 · Answer

Pour la connexion, voici comment tu pourrais faire:
<?php
$login = trim(addslashes($_POST['login']));
$password = md5(trim(addslashes($_POST['password'])));

$sql = 'SELECT id,password FROM membres WHERE login = "'.$login.'"';
$req = mysql_query($sql);
$nb = @mysql_num_rows($req);
if($nb > 0) {
  $membre = mysql_fetch_assoc($req);
  if($password === $membre['password']) {
    echo 'ok';
    // ...
  } else {
    echo 'Mauvais password';
  }
} else {
  echo 'Login inexistant.';
}
?>

Hormi · Answer

la jais pas tout compris de comment ca marche

avion-f16 · Answer

Voilà avec des commentaires :
<?php
// On retirer les espaces au debut et en fin de chaine et on applique déjà addslashes
$login = trim(addslashes($_POST['login']));
$password = md5(trim(addslashes($_POST['password'])));

// SQL : Selectionner l'id (pour le stocker en session après) et 
// le mot de passe (hashé en md5, pour le comparer par arpès)
$sql = 'SELECT id,password FROM membres WHERE login = "'.$login.'"';
$req = mysql_query($sql);

// On compte le nombre d'entrée dont le login est $login (cf. la requête). 
// Le "@" permet de ne pas afficher d'erreur si il n'y a pas d'erreur.
$nb = @mysql_num_rows($req);
if($nb > 0) {
  $membre = mysql_fetch_assoc($req);
  if($password === $membre['password']) {
    echo 'ok';
    // ...
  } else {
    echo 'Mauvais password';
  }
} else {
  echo 'Login inexistant.';
}
?>

Hormi · Answer

ok la tout est clair

Hormi · Answer

pour le reste c bon ou pas ?

Votre avis sur mon systéme de session

10 réponses

Discussions similaires