Php et mot de passe
Coccinelle
-
esox_ch Messages postés 770 Date d'inscription Statut Membre Dernière intervention -
esox_ch Messages postés 770 Date d'inscription Statut Membre Dernière intervention -
Bonjour aux CommentçaMarchiens,
J'ai une question à poser à propos de php et de sécurité.
Pour restreindre l'accès à une page ou à 1 zone particulière d'un site, je voudrais utiliser un mot de passe (user/password).
Ces mots de passe sont stockés dans une base mySQL.
Lors du clic sur le bouton envoyer ... envoi d'une requete qui vérifie l'existence du user et du password. Si le couple existe, renvoi d'une variable (disons MaVar par exemple) et alors accès au site...
Mon idée est de structure est la suivante (en français, pas en php !)
si (MaVar) est vide alors :
affichage du formulaire de login
sinon(=> le user et le pass existent)
affichage de la page 'protégée' du site.
Je voudrais juste savoir si mon idée tient la route, si ça va effectivement bloquer l'accès aux pages ou si ça se contourne facilement (par ex... interdire l'affichage du code source en Javascript se controune très facilement, interdire le clic droit aussi ... etc ...).
Il ne s'agit pas de protéger le site de la NASA mais de mettre à l'abri certaines données (sur le site web) que nous utilisons en interne sans qu'elles soient visibles par tous (clients)
J'espère que vous pourrez m'aider un peu,
à bientot
J'ai une question à poser à propos de php et de sécurité.
Pour restreindre l'accès à une page ou à 1 zone particulière d'un site, je voudrais utiliser un mot de passe (user/password).
Ces mots de passe sont stockés dans une base mySQL.
Lors du clic sur le bouton envoyer ... envoi d'une requete qui vérifie l'existence du user et du password. Si le couple existe, renvoi d'une variable (disons MaVar par exemple) et alors accès au site...
Mon idée est de structure est la suivante (en français, pas en php !)
si (MaVar) est vide alors :
affichage du formulaire de login
sinon(=> le user et le pass existent)
affichage de la page 'protégée' du site.
Je voudrais juste savoir si mon idée tient la route, si ça va effectivement bloquer l'accès aux pages ou si ça se contourne facilement (par ex... interdire l'affichage du code source en Javascript se controune très facilement, interdire le clic droit aussi ... etc ...).
Il ne s'agit pas de protéger le site de la NASA mais de mettre à l'abri certaines données (sur le site web) que nous utilisons en interne sans qu'elles soient visibles par tous (clients)
J'espère que vous pourrez m'aider un peu,
à bientot
A voir également:
- Php et mot de passe
- Trousseau mot de passe iphone - Guide
- Mot de passe - Guide
- Mot de passe administrateur - Guide
- Identifiant et mot de passe - Guide
- Mot de passe bios perdu - Guide
5 réponses
Oui, ca tient la route, meme si une utilisation des sessions serait plus adaptées. Tu peux meme crypter le/les mot(s) de passe en md5 (fonction md5()).
Kalamit,
Je l'dis pas mais j'en pense pas moins. :@)
Kalamit,
Je l'dis pas mais j'en pense pas moins. :@)
Ca me semble correct.
Mais il suffit qu'une personne entre le nom de cette variable pour être acceptée dans le site. Je te conseille donc de choisir un nom des plus compliqués.
Comme kalamit, je pense que les sessions seraient plus apropriées pour ce que tu veux faire (à partir de PHP 4 : http://php.net/fr/session ).
Mais il suffit qu'une personne entre le nom de cette variable pour être acceptée dans le site. Je te conseille donc de choisir un nom des plus compliqués.
Comme kalamit, je pense que les sessions seraient plus apropriées pour ce que tu veux faire (à partir de PHP 4 : http://php.net/fr/session ).
Y'a pas de probleme la dessus, les session C ok, mais tu peux aussi penser aux variables "POST", invisibles et C plus simple il me semble que les sessions. Quant au cryptage md5... C abusé! ;-)
En tous cas encore quelques heures de travail en perspective!
Fat_Cartman,
Parce que je le vaux bien...
En tous cas encore quelques heures de travail en perspective!
Fat_Cartman,
Parce que je le vaux bien...
Il faut une journée à tout casser pour maîtriser les sessions en PHP (l'apprentissage prend du temps. Notez tout de même le "maîtriser").
Ensuite il ne te faudra qu'une ou deux heures pour mettre en place tous tes accès sécurisés selon leur complexité.
En ce qui concerne md5(), je ne vois pas en quoi c'est abusé. C'est une sécurité pour les internautes (cookies stockés ou autre accessible à partir de la machine) et pour la boîte.
Ensuite il ne te faudra qu'une ou deux heures pour mettre en place tous tes accès sécurisés selon leur complexité.
En ce qui concerne md5(), je ne vois pas en quoi c'est abusé. C'est une sécurité pour les internautes (cookies stockés ou autre accessible à partir de la machine) et pour la boîte.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question