AUTHENTIFICATION SÉCURISÉE PAR SESSIONS ET MOT DE PASSE CHIFFRÉ PAR MD5 // BDD MYSQL

Commentaire de HurriCom le 05/05/2004 18:56:22

Alors là, je suis obligé de confirmer.
VRAIMENT ! Après avoir cherché et cherché encore un script simple proposant une sécurisation de bon niveau pour mes pages, je dis BRAVO mavounet !!!
Franchement, pas de problèmes lors de l'installation, c'est simple et bien expliqué.
En plus, je l'ai paramétré pour mon site très facilement, car ce script se résume en fait en deux parties (un script de connexion + un script de protection)
1 partie dans mon formulaire d'authentification, l'autre partie à copier dans toutes mes pages à protéger et le tour est joué !

Bonne continuation
++ Hurri

PS : mysql + sessions + cryptage md5 + code simple = 10/10 et un gros MERCI !!!

Commentaire de mavounet le 05/05/2004 20:26:35

Voici la liste de tous les md5 à supprimer pour supprimer le cryptage des mots de passe :

// ligne 15 du fichier index.php et ligne 28 du fichier admin.php ...
$pass = md5($_POST['pass']);

// ... à transformer en
$pass = $_POST['pass'];

Voilà, maintenant, pour espérer te rconnecter, remet le mot de passe d'au moins 1 administrateur en clair dans la base (à l'aide de PhpMyadmin par exemple) et reconnecte toi pour gérer tes utilisateurs.
N'oubli surtout pas de remettre en clair le mot de passe du compte de base par exemple (login: toto, pass: mdp), car il est crypté dans la base.
Tu as du faire un oubli, je viens de tester, j'ai pas réussi à me tromper ;)

++

Commentaire de mavounet le 06/05/2004 20:55:14

Merci et bonne remarque car il ne s'agit effectivement pas de cryptage car mais d'empreinte numérique. En effet, impossible de retrouver avec certitude le message d'origine chiffré par md5 car il existe une même empreite pour plusieurs combinaisons de caractères...
>> le message ou la chaîne de caractère n'est pas contenue dans une chaine de type "4b868ty444401ez56 ...".
Je te donne donc entièrement raison et rajouterai pour ceux qui voudraient jouer les apprentis hacker'z (sisi j'en ai vu sur ce site ;) : une chaîne cryptée par md5 ne se décode pas, il est juste possible de vérifier son authenticité par comparaison des empreintes.
Bien le bonsoir à toi Inekman!

MaV-

Commentaire de romalafrite le 10/05/2004 07:58:38

Bon script, pas essayé parce que j'ai le mien mais bon, de loin il a l'air bien ;) Juste une suggestion, j'ai utilisé mcrypt + clé pour le mien, que pensez vous de cette solution ?

Commentaire de romalafrite le 10/05/2004 23:58:48

non, pas eu le temps, ou plutot la flemme... ;) Il faut voir

Commentaire de Thomas57 le 20/05/2004 19:53:04

10/10 BRAVO ! :))

Commentaire de mavounet le 26/05/2004 06:48:25

en effet, en faisant un view-source, tu pourra voir du ... html
en aucun cas tu vois une ligne de php, car il est interprété côté serveur.
;) +

Commentaire de Inekman le 17/06/2004 19:14:47

en lisant un peu les fonctions j'ai vu une fonction show_source() (ou un truc dans le genre) qui permet de voir le code source de la page php. J'avais fait un test et ça fonctionnait. Donc je me demandais si c t possible d'interdire l'utilisation de cette fonction pour empêcher la visualisation du code...:-(

Commentaire de panpan le 21/06/2004 22:16:47

ce qui serai bien c'est un bout de code qui verifi si le membre existe deja dans la base de donné quand on en ajoute un.

Commentaire de Mycado le 22/07/2004 20:38:01

Pour info, dans 90% des cas, l'injection SQL ne fonctionne pas.
Je parle en connaissance de cause.

Commentaire de fabsss le 31/07/2004 03:56:42

bonjour,

j'avoue ce code est magnéfique cependant je souhaite savoir comment creer une redirection pour chaque utilisateur

et si possible de le faire en rajoutant dans le formulaire "creation de compte" une saisie

merci

Commentaire de fibo le 31/08/2004 15:38:53

Sur ma machine, le script refusait de marcher correctement. Différents essais pour trouver le problème, qui pourtant n'apparaissait pas dans le debug de Nusphere.
La solution? Penser à désactiver ZoneAlarm qui en fait bloquait le processus...

Commentaire de fazzman le 22/09/2004 23:45:39

Lut all,

Je viens d'installer ce script sur mon site ( en local pour le moment ) et ca marche po !!! ( j ai jamais de chance moi ... )

Lorsque j arrive sur la page de log, j entre les infos comme dit dans le fichier Lisez-moi.htm c'est a dire login : "toto" et mot de passe : "mdp".

Lors de la validation j ai l erreur :
Echec d'authentification !!! > Aucune session n'est ouverte ou vous n'avez pas les droits pour afficher cette page

J ai bien mes tables de créées, j'utilise easyphp 1.7 avec comme seule modif au niveau du php.ini
=> error_reporting = E_NOTICE
d'autre part tous mes script php marche sauf ceux avec lesquels il y a des sessions !!!

Je ne vois pas de ou le probleme peut venir sauf si ce n'est de mon firewall !!! Est-ce possible ? Si oui qu elle est le service ou programme a laisser passer ?

Ensuite pour en etre sur j aimerai savoir ou sont stockés les fichiers session sur un serveur tel que easyphp 1.7

Merci d'avance pour vos reponses...
Bye ;-)

Commentaire de fabsss le 20/10/2004 23:11:38

salut

je trouve le script pas mal mais par contre je souhaite creer une direction differente au niveau des utilisateurs car selon la personne je souhaite mettre des choses differents (document etc...)

merci

Commentaire de Mercury_be le 23/10/2004 16:21:16

heuuu honte à moi, je viens de le voir ;)

Commentaire de mosfbs le 09/11/2004 10:58:51

salut ;
voila j'ai utilisé ton code , et j'ai c'est 2 erreurs ,tu peut m'aider pour les corriger stp

Warning: session_start(): Cannot send session cookie - headers already sent by (output started at C:\Program Files\Apache Group\Apache2

Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at C:\Program Files\Apache Group\Apache2\htdocs\servitudes\index.php:2) in C:\Program Files\Apache Group\Apache2\htdocs\servitudes\index.php on line 10

Commentaire de topperh le 30/11/2004 00:51:56

bon voila je suis un boulet en programmation et j'avoue que pourtant j'essaye de comprendre.
j'ai cette erreur :
Warning: mysql_pconnect() [function.mysql-pconnect]: Access denied for user: 'root@212.27.35.102' (Using password: NO) in connexion.php on line 7

Fatal error: Access denied for user: 'root@212.27.35.102' (Using password: NO) in connexion.php on line 7

mon server d'hebergement est online.

Merci de m'aider

Commentaire de freeloony le 23/01/2005 18:29:11

Nickel !!! Un 10/10 !
J'ai téléchargé ce script il y a quelques temps parce que rien ne sert de réinventer la roue... Et il fonctionne très bien, simple et clair à comprendre !
Merci à son auteur.

Commentaire de yannvag le 16/02/2005 10:47:32

C'est super, mais moi, je developpe en XHTML.

C'est pourquoi ça serai cool si c'était en XHTML.

Mais sinon, c'est TROP COOL !!!

Commentaire de Oziris le 09/04/2005 11:11:29

salut,
merci pour ton code qui est bien lisible par endroit(expression trop technique par moment) pour un newbees comme moi
une petite remarque pour sont evolution :
seul l'admin peu creer un utilisateur !!
il n'y a pas de page pour s'enregistrer si l'on est un simple visiteur pourquoi ?

Commentaire de leonsix le 13/04/2005 23:10:00

trs bon script j'ai adoré je voudrai savoir si quelqu'un connait la fonction inverse de MD5 merci pour l'infos

Commentaire de rythm_of_hell le 26/04/2005 09:44:36

Salut,

C'est juste pour te dire qu'il y a une faille dans ton code notament au niveau de la saisie du mot de passe. Avec ta requete il suffit d'entrer un login valide sans le mot de passe pour entrer. Ta requete est ainsi:
SELECT * FROM utilisateurs WHERE login='$login' AND pass='$pass' . Si je mets comme login quelque chose du genre  toto ' # ta requete va ignorer ce qu'il y a apres le dieze et du coup plus besoin de pass pr tous les privilèges!

Commentaire de Oziris le 30/06/2005 19:58:57

salut,
encore moi apres avoir regarder ton code dans tous les sens il y a quelques chose que je comprend pas
comment faire une REDIRECTION EN FONCTION DU PRIVILEGE j'ai pas tous compris ? et malgre l'aide et le nombre de mes essaie je n'y arrive toujours pas :<
merci de ta reponse

Commentaire de mavounet le 01/07/2005 09:55:15

Salut à tous. Je ne peux pas uploader la mise à jour (pb sur pcpcs), mais la V1.2 est dispo sur http://www.borrat.net/sources.php

>> + de sécurité et plus de documentation

Bon php à tous !

Commentaire de csiko le 03/09/2005 02:48:28

salut!

Félicitations et merci à Mavounet, excellent code que la V1.2, utilisable quasi-tel quel et très bonne base pour ceux qui ont des notions de PHP et veulent perfectionner le truc. Le word joint contient une explication très détaillée de tout. Téléchargez !

Il faudrait effectivement mettre "  if (isset($_SESSION['authentification'])) " comme dit dans le message du dessus. La fonction est moins gourmande que session_is_registred je crois.


Pour faire avancer les choses :
Que ceux qui ont des problèmes déconnexion après avoir saisi un utilisateur s'évitent des galères en lisant ceci (j'ai détaillé pour les plus newbee que moi, c'est peut-être un peu long, mais vous devriez gagner du temps quand même)

pourquoi ça déconnecte :
Le serveur se mélange les bretelles car la variable de session $_SESSION['privilege'] porte le même nom que celle transmise en post quand on valide le formulaire d'ajout d'utilisateur simple (qui envoie $_POST['privilege']="user" ). $_SESSION['privilege'] prend alors, furtivement, la valeur "user" au lieu de sa valeure initiale : "admin". Vous n'êtes plus loggé en "admin" et logiquement déconnecté.

Il en est de même pour les variables 'prenom' et 'nom' ou toute variable standard qui porterait le même nom qu'une de session (vérifiez si votre prénom/nom est devenu celui de l'utilisateur que vous venez de saisir quand vous retournez sur la page d'accueil).

une solution sûre :
Changer le nom des variables que vous envoyez en post pour qu'ils ne soient pas les mêmes que ceux des variables de session. Dans le formulaire, renommez comme vous voulez les champs de saisie 'privilege', 'nom', 'login'... Ensuite, quand vous les récupérez et les injectez dans la base de donnée, adaptez le nom des variables en conséquence.
Voila un extrait du fichier admin.php modifié (login est devenu loginf, pass=>passf ...simple mais efficace). Il y a quelques autres modifs dans l'extrait mais qui n'ont pas de rapport avec notre soucis) :
(...)
if(($_POST['loginf'] == "") || ($_POST['passf'] == "")){ // si login ou mot de passe non spécifiés >> message d'erreur
header("Location:admin.php?erreur=empty");
}
else if($_POST['passf'] == $_POST['pass2f']){ // vérifie si le mot de passe et le mot de passe confirmé ont la même valeur
// passe toutes les variables $POST en variables
$loginf = addslashes($_POST['loginf']);
$passf = md5($_POST['passf']); // ici, crypte le mot de passe MD5 (j'aime MD5!)
$nomf = addslashes($_POST['nomf']);
$prenomf = addslashes($_POST['prenomf']);
$privilegef = $_POST['privilegef'];
$societef = addslashes($_POST['societef']);
$courrielf = $_POST['courrielf'];
$dateinscr=date("Y-m-d");
// INSERT dans la base de données
$add_user = sprintf("INSERT INTO utilisateurs (login, pass, nom, prenom, privilege, societe, courriel,dateinscr) VALUES ('".$loginf."', '".$passf."', '".$nomf."', '".$prenomf."', '".$privilegef."','".$societef."','".$courrielf."','".$dateinscrf."')");
   mysql_select_db($database_dbprotect, $dbprotect);
   $result = mysql_query($add_user, $dbprotect) or die(mysql_error());
header("Location:admin.php?add=ok"); // redirection si création réussie
}


solution alternative ?
Je pense que c'est à cause de l'option REGISTER_GLOBALS sur "on" dans le php.ini du serveur que ça se produit. En le tournant sur "off" (si vous y avez accès) vous devriez éliminer le problème sans rien toucher au code. J'a pas essayé, mais avec la solution du dessus, le module devrait marcher quel que soit le réglage de REGISTER_GLOBAL.
A confirmer.

long post mais j'éspère utile post.
merci aux codeurs partageurs qui nous ont à tous beaucoup appris. Ne leur en veuillez pas de ne pas fournir un produit fini, on n'apprend rien si tout est déjà fait.
bye.

Commentaire de xabivalencia le 26/09/2005 10:14:16

t as cree le fichier "sessions" sur free??

Commentaire de csiko le 26/09/2005 11:31:12

sur free il faut créer un dossier "session" pour que ça marche. Là le serveur n'arrive pas à la démarrer car il ne peut stocker le cookie dans un dossier session qui n'existe pas.
va voir sur cette page :
http://support.free.fr/web/php/php4.html
<i>"important : Pour que vos sessions 'fichiers' (mode par défaut) fonctionnent, vous devez créer un répertoire "sessions" (en minuscules sans les guillemets) à la racine de votre site Web (ou du cas échéant, de votre site Web secondaire). Sinon un message d'erreur vous signalant l'impossibilite de sauvegarder les sessions apparaitra."</i>

Commentaire de ludovicanceaux le 26/09/2005 12:07:07

juste un truc, juste comme ca pour savoir est-il possible avec cette source de peaufiner un peu le code et de faire une connection complètement sécuriser "https:" ou alors pe etre que c carrément un otre code k'il fo...... j'en sai rien en fait!!!!!!

Commentaire de ludovicanceaux le 26/09/2005 20:26:05

oki je te remercie de ta réponse si clair, je vai me documenter, en tout cas c'est un super code que tu a fait là!!!!!!!!!

Commentaire de csiko le 27/09/2005 10:39:29

Regarde la réponse un peu plus haut pour les plantages de session (post csiko du 03-09-2005).

Commentaire de thomashainaut le 30/09/2005 19:48:32

Re !
Ca y est, G réglé le bleme, j'avai oublié le "s" à sessions.
Dsl pour les trois mesage identiques que j'ai envoyé mais mon ordi plantai.
Tout fonctionne a merveille ! 10/10 la source !
Merci

Commentaire de mavounet le 17/12/2005 23:08:49

En lisant la doc tu aurais pu voir que l'intérêt de ce script est en l'occurence son morcellement. Car il permet de rester interprétable par le WYSIWYG Dreamweaver ou autres... Ainsi, Adios le HTML dans le code que les infographistes détestent pour la mise en page. D'autant plus que le code n'en est pas plus long à l'exécution.
Merci Shibo pour ta contribution UTILE.

Commentaire de mavounet le 17/12/2005 23:20:13

Merci de cette précision. C'est bien plus clair, c'est limpide. Te lire est un plaisir. La langue française te doit beaucoup, et moi aussi. Merci.

Commentaire de mavounet le 22/12/2005 14:31:36

On serveur accepte-t-il mysql_pconnect ? ce sont des connexions persistantes à la base, ce qui permet de factoriser le nombre de connexions.
Après, PhpMyadmin chez 1and1 je ne peux pas t'aider, je n'ai pas essayé cet hébergeur qui fait parler de lui en ce moment avec son offre bizarre. Tu peux certainement l'installer sur ton serveur en copiant les fichirs et en éditant le fichier de conf avec tes paramètres de connexion. Mais attention à la sécurité... Bon courage :)

Commentaire de Cabelec le 22/12/2005 21:10:15

merci beaucoup pour ton aide !j'essaye sa tou de suite !

Commentaire de mavounet le 02/01/2006 20:04:03

Bonne année à tous !
L'upload de sources ne marchant pas ce soir (peut-être que la mienne est trop lourde), je poste une nouvelle source ici :

CMS écrit pour les utilisateurs de Dreamweaver qui vous permettra de mettre en oeuvre rapidement un site dynamique et complet sur un framework facilement évolutif.

Gestion simple des contenus et mise en forme facile de votre interface.

- Affichage de contenus dynamiques (rubriques, sous-rubriques) en WYSIWYG
- News
- Gestion simple du rubriquage et des contenus
- Paramétrages généraux du site (Edito, pied de page, mots clés, titre etc.)
- Gestion des news
- Outils d'administration (stats, admin BDD, Gestion des utilisateurs)
- Une page sample de contact pour envoyer des emails à l'aide d'un formulaire

Téléchargement :
http://www.borrat.net/sources.php

J'attends vos contribs et remarques par email ou messages privés (pas ici, ce n'est pas l'objet de la discussion).
Bon PHP à tous.

Commentaire de SliWoiD le 10/01/2006 10:02:29

Félicitation Mavounet, ton code ne m'est pas utile puisque j'ai le mien mais il est propre, concis et clair et, qui plus est, tu apportes à ce sujet des réponses attrocement claires et pertinentes :D Bonne continuation !

Commentaire de zozo69 le 01/02/2006 21:57:06

tres bonne source merci à plus +++++++