Sujet Précédent Sujet Suivant

Session php non-securisé

Fermé
hack_net Messages postés 783 Date d'inscription lundi 5 mars 2007 Statut Membre Dernière intervention 5 juin 2014 - 8 mai 2008 à 12:07
 checho - 17 juin 2015 à 16:40
Bonjour,

Voila, le probléme est simple. J'ai crée une petite partie membre. Une foi le nom et le mot de passe rentré, les visiteurs sont redirigés de index.php à index2.php.
J'ai également crée un boutton deconexion, qui a pour fonction de détruire la session.

Seulement voila, quand on tape directement dans le navigateur 'index2.php', la page s'affiche ! Or, il faudrait d'abord une identification. J'ai donc rajouté un petit script php au début de la page, mais il n'a pas l'air de fonctionner. Etant débutant en PHP, je demande votre aide.

Voici les codes sources des pages.

index.php : 
<?php
session_start(); // On démarre la session AVANT toute chose

// On s'amuse à créer quelques variables de session :
/* on récupère le nom dans le tableau POST des données du form */
$name=$_POST['name'];

$_SESSION['name'] = $name; 
$_SESSION['mot_de_passe'] = $mot_de_passe;

// Maintenant que le session_start est fait, on peut taper du code HTML
?>
<?php
	if (isset($_POST['mot_de_passe'])) 
		{
   		 $mot_de_passe = $_POST['mot_de_passe'];
		}
	else 
		{
   		 $mot_de_passe = ""; 
		}

	if ($mot_de_passe == "uvjkabvw78") 
		{
		@header("Location: index2_test.php");
		}

	elseif ($mot_de_passe == "--t7xdmlxdse2++") 
		{
		@header("Location: admin.php");
		}
	
	else 
		{
		
			?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
 <head>
 <title>Connexion au site</title>
 </head>
 <body>
 <center>
 <br><br><br><br>
 <h1>BIENVENUE !</h1>
 <form action="index1_test.php" method="post">
 <table width="225" border="1" cellpadding="3">
 <tr><td colspan="2"><center><font
 size="+2"><b>Connexion</b></font></center></td></tr>
 <tr><td>Prénom : </td><td><input type="text" name="name"></td></tr>
 <tr><td>Mot de Passe : </td><td><input type="password" name="mot_de_passe" /> </td></tr>
 <tr><td colspan="2" align="center"><input type="submit" value="Valider" /></td></tr>
 </table>
 </form>
 </center>
 </body>
 </html> 
			<?php
		}
?>



index2.php : 
<?php
session_start(); // On démarre la session AVANT toute chose
if ($_SESSION['mot_de_passe'] = "")
{
 @header("Location: index.php");
}
else
{
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<title>Bienvenue !</title>
</head>
<body>
<div class="element_logo" id="logo"><a href="/"><img src="images/bandeau_haut.jpg" height="100" width="795"></a></div>
<div id="menu_h">
<a href="logout.php">Déconexion</a>
</div>
<div id="corps">
<h1>Bienvenue <?php echo $_SESSION['name']; ?>!</h1>
</div>
</body>
</html>
<?php
}
?>



logout.php : 
<?php
// you have to open the session first
session_start();

//remove all the variables in the session
session_unset();

// destroy the session
session_destroy();
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Document sans titre</title>
</head>
<body>
<script language="javascript">
{
 document.location='index.php'
}
</script>
</body>
</html>


Je précise que tout le reste marche.
Derniére chose : Voila ce que le navigateur me met sur index.php en bas de page = 
Warning: Unknown: Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively. in Unknown on line 0

Merci d'avance pour votre aide...
A voir également:

18 réponses

Réponse 1 / 18
spounky
Modifié par spounky le 30/05/2011 à 02:38
ce sujet est vieux, mais si ca peux conclure, ajouter en début de script:

<?php
ini_set ('session.bug_compat_42', 0);
ini_set ('session.bug_compat_warn', 0);
?>

pour supprimer le message.
3
pseudodani Messages postés 34 Date d'inscription vendredi 14 septembre 2012 Statut Membre Dernière intervention 4 juillet 2013
26 sept. 2012 à 01:14
j'ai rencontré le même problème.Merci Spounkly.
0
checho
17 juin 2015 à 16:40
J'ai rencontré le même problème du, il paraît, à la version PHP plus ancienne par rapport à celle du serveur VPS. J'ai ajouté les deux lignes indiquées par spounky en tête de mon fichier index.php et apparement le message ne s'affiche plus. Merci pour l'info
0
Réponse 2 / 18
je suis en galère
8 mai 2008 à 13:29
je suis de t'aider, tu es d'accord ?
0
Réponse 3 / 18
hack_net Messages postés 783 Date d'inscription lundi 5 mars 2007 Statut Membre Dernière intervention 5 juin 2014 51
8 mai 2008 à 13:51
Oui, tout est bon a prendre :)
0
Réponse 4 / 18
je suis en galère
8 mai 2008 à 13:56
Bon, quest ce- que tu veux comme page lorsque le visiteur tape sur le navigateur index2.php?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
hack_net Messages postés 783 Date d'inscription lundi 5 mars 2007 Statut Membre Dernière intervention 5 juin 2014 51
8 mai 2008 à 13:59
Je souhaiterais qu'il soit redirigé ver index.php, car en entrant directement index2.php, il n'a pas fournis de mot de passe. C'est donc une grosse faille que je souhaiterais éviter !

Merci
0
Réponse 6 / 18
je suis en galère
8 mai 2008 à 14:12
ok c'est facile, dans ta page index2.php tu met le code:
<?php
session_start();

if ($_SESSION['mot_de_passe'] = "")
{header("Location: index.php");}
?>



et dans logout.php, tape tout simplement ce code:

<?php
session_start();

session_destroy;
header("Location: index.php");
?>

Un conseil en plus pour tes headers, c'est mieux de mettre des adresse absolues, donc header("Location: http://localhost/..../index.php");
PS: j'ai mis les points de suspensions dans ce header, car c'est toi seul qui connait l'adresse complète.


Essai-le, déconnecte toi, puis tapes sur le navigateur index2.php, et dis moi si çamarche .

a+
0
Réponse 7 / 18
je suis en galère
8 mai 2008 à 14:15
Excuse il ya une erreur sur mon code, et sur le tient:

<?php
session_start();

if ($_SESSION['mot_de_passe'] == "")
{header("Location: index.php");}
?>

En fait au lieu du simple égal, tu dois metrre un double égal
et sur ton script, il y a cet erreur.
0
Réponse 8 / 18
hack_net Messages postés 783 Date d'inscription lundi 5 mars 2007 Statut Membre Dernière intervention 5 juin 2014 51
8 mai 2008 à 14:17
Non, snif, je peut toujours accéder à index2.php sans m'identifié...

Merci quand même de ta réponse
0
Réponse 9 / 18
je suis en galère
8 mai 2008 à 14:23
méme avec le double égal ? car t'avais fait une faute à index2.php, t'a mis un simple égal au lieu du double égal:

<?php
session_start();

if ($_SESSION['mot_de_passe'] == "")
{header("Location: index.php");}
?>
0
Réponse 10 / 18
je suis en galère
8 mai 2008 à 14:25
il faut que tu met un double égal == au lieu du simple égal =, et dis moi si ça marche
0
Réponse 11 / 18
hack_net Messages postés 783 Date d'inscription lundi 5 mars 2007 Statut Membre Dernière intervention 5 juin 2014 51
8 mai 2008 à 14:37
Si ca amrche, merci :)

En fait, ce qui c'est passé, c'est qu'on a posté nos deux message avec un intervale de quelques secondes, donc en disant "non snif", je répondais un précédent message et non à la correction...

Merci beaucoup en tout cas...

Il reste toujours un probléme, celui du message affiché par le navigateur en bas de index.php :

"Warning: Unknown: Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively. in Unknown on line 0"

Merci pour vos réponses...
0
Réponse 12 / 18
je suis en galère
8 mai 2008 à 15:07
Je n'ai jamais eu affaire à ce problème, donc je ne pourrais pas t'aider efficacement.

Mais, vu ton code de index.php, je pense que le problème viens de :

$name=$_POST['name'];
$_SESSION['name'] = $name;

En effet, dès le départ $_SESSION['name'] = $name;
or $name est égal à $_POST['name']
mais $_POST['name'] est égal à rien car le visiteur n'a méme pas encore appuyé sur le boutton submit
Donc le problème, c'est que tu as affecté une variable indéfinie (càd sans valeur) à $_SESSION['name'] , alors que le visiteur n'a pas encore appuyé sur le boutton submit.

Donc dans index.php, essaie ce code:

<?php
session_start(); // On démarre la session AVANT toute chose

if($_POST['name']!="")
{
$_SESSION['name'] = $name;
$_SESSION['mot_de_passe'] = $mot_de_passe;
}

/*En effet $_SESSION['name'] sera égal à $name et $_SESSION['mot_de_passe'] sera égal à $mot_de_passe*/
/*que si $_POST['name'] n'est pas égal à rien*/
// Maintenant que le session_start est fait, on peut taper du code HTML

?>

Un autre conseil aussi:
tjrs dans index.php, remplace

if (isset($_POST['mot_de_passe']))

par if ($_POST['mot_de_passe']!="")

car parfois,isset est compliqué à utiliser

Bon essaie ces code mais je ne te garanti pas du résultat.
Mais après dis moi si ça marche.
0
Réponse 13 / 18
hack_net Messages postés 783 Date d'inscription lundi 5 mars 2007 Statut Membre Dernière intervention 5 juin 2014 51
8 mai 2008 à 17:14
Snif, je suis modit :(

En effet, le message ne s'affiche plus sur la page :), mais lorsque l'on clic, on obtien sur fond blanc ce message :

"Warning: Unknown: Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively. in Unknown on line 0"

Quelqu'un as-t-il une solution ?

Merci d'avance...
0
Réponse 14 / 18
hack_net Messages postés 783 Date d'inscription lundi 5 mars 2007 Statut Membre Dernière intervention 5 juin 2014 51
12 mai 2008 à 23:18
UP :)
0
Réponse 15 / 18
hack_net Messages postés 783 Date d'inscription lundi 5 mars 2007 Statut Membre Dernière intervention 5 juin 2014 51
13 mai 2008 à 00:16
UP :)
0
Réponse 16 / 18
hack_net Messages postés 783 Date d'inscription lundi 5 mars 2007 Statut Membre Dernière intervention 5 juin 2014 51
13 mai 2008 à 00:22
Up :)
0
Réponse 17 / 18
hack_net Messages postés 783 Date d'inscription lundi 5 mars 2007 Statut Membre Dernière intervention 5 juin 2014 51
13 mai 2008 à 19:56
UP !
0
S.lipkno.t
21 avril 2009 à 12:37
Il semblerait que tu soit sour php 4.x.x et que register_globals soit a 1, donc ton script est vulnérable au attaque par fixation de session, met register_globals à 0 ou l'option debug a la valeur indiqué dans le message d'erreur ;)
0
cyrilherve Messages postés 324 Date d'inscription dimanche 12 août 2007 Statut Membre Dernière intervention 26 août 2011 7 > S.lipkno.t
22 mai 2009 à 16:02
je rencontre le mm probleme,,, comment je vais donc modifier ces valeurs(register_globals) vu que mon site est chez un hebergeur ?
cdlt
0
gamgamer
12 mars 2013 à 15:37
Bonjour, le poste date mais mieux vos tard que jamais, si vous avez cette erreur ( c'est que des variables et autres $_POST[] sont utilisé sur la page de manière tel qu'un pirate pourrais récupérer leur contenu, afin d'éviter cela il faut que le contenu des variables soit vidé lorsque le traitement a été effectué sur votre page
0
Réponse 18 / 18
toju
24 sept. 2012 à 17:25
// INDEX.PHP
<?php
session_start();
$_SESSION['name'] = (isset($_POST['name'])) ? $_POST['name'] : "";
$_SESSION['mot_de_passe'] = (isset($_POST['mot_de_passe']) and !empty($_POST['mot_de_passe'])) ? $_POST['mot_de_passe'] : "";

switch (@$_POST['mot_de_passe']) {
case "uvjkabvw78":
@header("Location: index2_test.php");
break;
case "--t7xdmlxdse2++":
@header("Location: admin.php");
break;

}

?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Connexion au site</title>
</head>
<body>
<center>
<br><br><br><br>
<h1>BIENVENUE !</h1>
<form action="index.php" method="post">
<table width="225" border="1" cellpadding="3">
<tr><td colspan="2"><center><font
size="+2"><b>Connexion</b></font></center></td></tr>
<tr><td>Prénom : </td><td><input type="text" name="name"></td></tr>
<tr><td>Mot de Passe : </td><td><input type="password" name="mot_de_passe" /> </td></tr>
<tr><td colspan="2" align="center"><input type="submit" value="Valider" /></td></tr>
</table>
</form>
</center>
</body>
</html>
__________________________________________________________
0

Discussions similaires

Retirer le mode sécurisé sur l'écran de la TV connectée Free
beatrice -
baladur13 -

1 réponse
Comment désactiver le mode sécurisé de la Freebox POP.
Cycy -
bazfile -

18 réponses
Paiement site non sécurisé
clo97 -
Sympa -

13 réponses
Attention session expirée ou obsolète
bobbye567 -
clarisse -

3 réponses
Problème d'Internet, sécurisé
MonsieurWawi -
MonsieurWawi -

8 réponses