AUTHENTIFICATION SÉCURISÉE PAR SESSIONS ET MOT DE PASSE CHIFFRÉ PAR MD5 // BDD MYSQL

Commentaire de mnjagg le 05/05/2004 16:03:49

WAW c'est tout simplement GENIAL ! Bravo ça va me servir :) merci pour cette super source moi je met 10/10 j'adore !

Commentaire de cassey le 05/05/2004 19:58:10

je veux savoir si je veux enlever le crypter qu est que je fais j ai effacer les md5 mais j ai toujours les point noir qui s affiche
merci
a part ca super ton script

Commentaire de Inekman le 06/05/2004 20:03:28

C'est un bon script ça. 9/10

J'ai juste une remarque à faire, le MD5 n'est pas un algorithme de cryptage mais "juste" une signature numérique de 32 bits. ;-)

Inekman.

Commentaire de Inekman le 07/05/2004 01:11:47

Tu corrobore mes dires, ça fait plaisir.

Mais c'est affligeant de voir des internautes qui cryptent tout et n'importe quoi avec la fonction MD5 alors qu'une simple recherche sur gogol leur apprendrait une bonne fois pour toute qu'il s'agit d'une signature numérique (Hash, pour les francophobes :p) et donc que la donnée ne s'y trouve nullement.

Ceci-dit, si t'as recontré des poypoy essayant de retrouver un mot de passe à partir du MD5..faut qu'ils m'expliquent et je leur souhaitent de bonnes nuits blanches :p

Encore bravo pour ton script Mavounet...moi faut que j'aille faire dodo.

Inekman.

Commentaire de Inekman le 10/05/2004 17:19:49

Moi j'en pense pas grand chose parce que je ne sais pas ce que c'est...t'as pensé à faire une recherche sur gogol pour savoir ce qu'en pense globalement la communauté d'Internet à propos de ta méthode ?

Commentaire de itris le 11/05/2004 08:31:10

Tres bon script !
Bien commenté !
Facilement adaptable !

Bref ... Superbe boulot !
;-)

Commentaire de alcapote le 25/05/2004 22:31:22

Salut et félicitation pour ton script, mais je crois qu'il n'est pas complètement inviolable : quand on arrive sur l'index.php si on fait :
view-source:http://adresse_de_ton_site/repertoire/accueil.php

on arrive au code source de la page d'acceuil donc au reste du site!!!

Si quelqu'un a une explication, en tout cas bravo, c'est pas pour critiquer car je suis incapable de faire 1% du travail que tu as fais, c'était juste pour faire avancer le chmilblik...
hasta luego

Commentaire de Kevin007 le 17/06/2004 17:48:52

Bon code juste ça :
if (session_is_registered("authentification")) devient if (isset($_SESSION['authentification']))

Commentaire de panpan le 21/06/2004 15:28:46

Tu entend quoi par :

Bon code juste ça :
if (session_is_registered("authentification")) devient if (isset($_SESSION['authentification']))

Qu'il faut changer le code original pour mettre cela a la place?

Beau travail 10/10

Commentaire de revinc le 23/06/2004 12:59:31

Juste pour te signaler que ton script n'est pas sécurisé et qu'il est possible de se logger sous n'importe identifiant même sans connaître le mot de passe.
Une injection SQL dans le fichier index.php permettrait quel hacker de pénétrer dans ton système (si la directive de configuration magic_quotes_gpc est à 0 sur ton serveur, ce qui est fort probable) :

$verif_query=sprintf("SELECT * FROM utilisateurs WHERE login='$login' AND pass='$pass'"); // requête sur la base administrateurs

Essaye de rechercher plus dinfos sur les injections sur le net.

Commentaire de spider987 le 28/07/2004 13:51:41

merci pour ce cs.
Moi il ne me servira pas mais je pense que sa devrais suffir pour un pote qui developpe son site perso.

Enfin si non super bien expliqué. Magnifique
mais comme aucain script n'est parfait je dis 9/10

Commentaire de emilia123 le 24/08/2004 11:24:09

Je tiens juste à dire que Revinc a raison et que Mycado n'a pas l'air de savoir ce qu'il dit.

la requette : "SELECT * FROM utilisateurs WHERE login='$login' AND pass='$pass'"
Si dans le formulaire pour le login on rentre :
' or 1=1 or 1='
(ne pas oublier les simples cotes au début et fin).
cela donne :  

SELECT * FROM utilisateurs WHERE login='' or 1=1 or 1='' AND pass='$pass'

quelque soit le mot de passe rentré 1=1 est toujours vrai donc on passe le test de l'utilisateur correspondant...et hop on est connecté.
Il faut proteger les valeurs passées au requettes.. en supprimant les ' (simple cotes), les % (caractères joker), etc etc. par un petit HTMLentities
quite a hasher aussi le login pour etre sur..
voila c'est tout.
biz à tous

Commentaire de danny2004 le 15/09/2004 16:38:20

Hello, en effet je trouve son code très bon. J'ai juste un problème... Lors d'une déconnexion ou d'un echec de mot de passe le formulaire de connexion s'affiche bien avec les avertissements correspondants mais il est impossible de se reloguer. On arrive sur une page inconnue... quelqu'un a-t-il eu le meme problème? D'où ça vient?

merci!

pour les injections de sql... vous êtes un peu parano il me semble. Les 3/4 des hébergeurs sont sécurisés contre ces attaques. Mais il y en a toujours à la rue évidemment!

Commentaire de massacr le 29/09/2004 14:01:49

Ce script est vraiment super

Commentaire de Mercury_be le 23/10/2004 16:19:39

j'aimerais vraiment le tester... mais il est où le zip ???? :'(

Commentaire de xabivalencia le 29/10/2004 16:16:43

tres bo tuto, ca marche de suite...pas beosin de se compliker la vie....10/10 niveau explication dans les script,10/10 niveau accompagnment...en FAIT, C 100% DE REUSSITE!!
J ai quand meme une petite question:
c est peut etre bete mais comment redonner le password a un utilisateur qui ne s en souviendrait plus???

Commentaire de Marshall_Mathers le 27/11/2004 15:34:57

Parfait !!!

C'est ce que je chercher !!

9/10 (même si c'est le meilleur CS que j'ai trouvé !!!)

PS : Faut pas oublier de dire (pour ceux qui ne savent pas) de creer un dossier 'sessions' sous les serveur de free ;)

Commentaire de coun05 le 14/12/2004 23:18:45

Slt.
Je suis un gros noob en prog, ms j'aimerais corriger la "faille" de sécurité mise en avant par revinc et emilia123, cad avec le htmlentities.
Justement, est-ce que vous pourriez me dire où on les met exactement, pke j'ai essayé à pas mal d'endroits...sans résultat. Un vrai noob quoi ;)

Commentaire de fibo le 23/01/2005 19:17:19

Parfait.
J'ai apporté quelques petites modification pour mieux adapter à mon problème personnel, mais c'est vraiment un très bon script bien expliqué.
En ce qui concerne la sécurité... je ne garde le mot de passe en clair que pour le login lui-même, après je le garde sous la forme md5.
Comme mon site ne brasse pas d'argent... je pense que les crackers trouveront plus inytéressant à craquer.

Commentaire de nitrox13 le 06/04/2005 01:25:07

Super boulot.
J'ai un pb, lorsque je crée un utilisateur avec le privilége utilisateur, je retombe sur la page index.php avec le message suivant :
Echec d'authentification !!! > Aucune session n'est ouverte ou vous n'avez pas les droits pour afficher cette page (l'utilisateur est quand meme crée).
Si je crée le meme utilisateur avec le privilége admin, aucun pb.

Commentaire de Oziris le 11/04/2005 12:18:22

salut,
c encore moi comme nitrox 13 j'ai le meme probleme
lorque on creer un utilisateur il me mais la meme erreur que nitrox 13 mais l'utilisateur est creer peu tu nous eclairer ?
merci de ton aide

Commentaire de jojobarjo32 le 20/04/2005 18:30:05

md5 marche à sens unique leonsix ;)

Sinon bon script qui mérite l'attention. J'ai quand même du rajouter pas mal de choses pour arriver à un résultat qui me convenait (page profil pour chaque utilisateur afin de pouvoir modifier son mot de passe et compagnie, page que pour les admins pour modifier un utilisateur, etc, etc.). Je ne savais pas que la faille qu'à dite emilia123 existait alors j'ai testé et c'est vrai. En rentrant ' or 1=1 or 1=' on est directement connecté en tant qu'admin... Je le teste en local donc peut-être que sur l'hébergeur ce problème n'existe pas je ne sais pas. En tout cas, essaye d'arranger ça dans ta version 2 si tu peux !! Et tant qu'à faire, fais comme moi, rajoute une page profil etc... ca évitera de se le faire soi-même ;)
Encore merci pour ce script !

Commentaire de jypegue le 29/05/2005 20:17:33

> suite au commentaire de rythm_of_hell :
C'est vrai que ça craint un peu cette histoire de login générique. Personnellement ça m'ira tout de même.


J'ai passé quelques heures à chercher un scipt d'authentification. Je n'y connais pas grand chose en php et je cherchais un script simple et efficace; assez difficile à trouver en fait. Et là je tombe sur ce script, super simple à installer, super bien expliqué, et super facile à exploiter pour un site. Merci Mavounet.

Commentaire de Oziris le 01/07/2005 08:39:52

un petit exemple serai le bienvenue
merci

Commentaire de waxzcevrbtny le 01/09/2005 13:54:53

Salut !

J'ai regarder un peu la nouvelle version de ton script et j'ai remarqué une petite chose dans accueil.php :

Ne faudrait-il pas mettre ceci : if (isset($_SESSION['authentification']))

à la place de ceci : if (session_is_registered("authentification"))

à la ligne 11 ?

Voilà sinon ça à l'air pas mal du tout bravo :)

Commentaire de ludovicanceaux le 25/09/2005 18:20:27

Slt, c bizarre moi j'ai du mal à le faire fonctionner, j'ai créer ma bdd et a par le fichier connection.php, j'ai préférer faire ocune modif pour l'instant, est ce ke quelqu'un sais pk j'ai un message d'erreur:
"Warning: session_start(): open(/var/www/free.fr/a/e/bingomagot/sessions/sess_bd29d5c50aaa93ca6d9d8a19d47f7854, O_RDWR) failed: No such file or directory (2) in /var/www/free.fr/a/e/bingomagot/Admin/index.php on line 10

Warning: session_start(): Cannot send session cookie - headers already sent by (output started at /var/www/free.fr/a/e/bingomagot/Admin/index.php:10) in /var/www/free.fr/a/e/bingomagot/Admin/index.php on line 10

Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at /var/www/free.fr/a/e/bingomagot/Admin/index.php:10) in /var/www/free.fr/a/e/bingomagot/Admin/index.php on line 10

j'ai beau chercher mai je ne sais pô d'ou el vient, merci de m'aider please

Commentaire de ludovicanceaux le 26/09/2005 11:29:05

ah nan, mais c koi ce fichier session

Commentaire de ludovicanceaux le 26/09/2005 11:39:42

Bah oki, je te remercie c cool, ca marche maintenant, en tout cas c une super source!!!!!!!!

Commentaire de mavounet le 26/09/2005 13:38:43

En réponse à ludovicanceaux :

Rien ne t'empêche d'installer HTTPS sur ton serveur apache... et d'utiliser tous les scripts que tu souhaite pour sécuriser tes pages.
Pour se faire, il te faut apache mod_ssl. Ensuite, il te falloir créer un certificat ou en obtenir un auprès d'une entité de certification. (exemple : verisign). Tu peux en générer par exemple pour tester en local avec OpenSSL (soft télécheargeable gratuitement) . Je n'en ai plus en tête, mais il existe de très bon tutoriaux à ce sujet sur le web pour la génération de clés et certificats.
Après celà, il est possible d'affiner la sécurité de ton serveur afin d'empêcher par exemple les connections http et de forcer le https.
Tout se fait au cas par cas. La sécurité d'un serveur web dépendra non seulement de ses scipts, mais également de sa bonne configuration et enfin et surtout de la clairvoyance de son administrateur (toi). En effet, les plus grosses failles de sécurité sont humaines et la plupart des intrusions se font grâce à l'abus de confiance.
Pour sécuriser mon site, je commencerai donc par m'intéresser aux fonctions php, puis à mon php.ini, puis mon httpd.conf. SSL étant la cerise ;) mais qui ne sert à rien sans les tois étapes précédentes.

Petit PS : merci à ceux qui répondent aux questions lorque je n'en ai pas le temps, et à vous tous qui utilisez mon script.

Commentaire de ludovicanceaux le 27/09/2005 01:08:29

slt, c re moi et j'ai re un problème ;-), comment ca se fait ke kan j'essai d'enregistrer un simple utilisateur (L'admin marche parfaitemement), ca me plante ma session (il m'enregistre quand même mon utilisateur mai il me plante ma session kan même)!!!!!!!

Commentaire de thomashainaut le 30/09/2005 19:37:28

Salut,
Tout d'abort je voulai dire merci pour cette superbe source mais j'ai quelques problemes, plusieurs messages s'affiche :

Warning: session_start(): open(/var/www/free.fr/5/e/spyblog/sessions/sess_b18bb8e9e67a50b3ce9b268e22e3df1c, O_RDWR) failed: No such file or directory (2) in /var/www/free.fr/5/e/spyblog/PASS/index.php on line 10

Warning: session_start(): Cannot send session cookie - headers already sent by (output started at /var/www/free.fr/5/e/spyblog/PASS/index.php:10) in /var/www/free.fr/5/e/spyblog/PASS/index.php on line 10

Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at /var/www/free.fr/5/e/spyblog/PASS/index.php:10) in /var/www/free.fr/5/e/spyblog/PASS/index.php on line 10

Warning: Unknown(): open(/var/www/free.fr/5/e/spyblog/sessions/sess_b18bb8e9e67a50b3ce9b268e22e3df1c, O_RDWR) failed: No such file or directory (2) in Unknown on line 0

Warning: Unknown(): Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/var/www/free.fr/5/e/spyblog/sessions) in Unknown on line 0

Si vous pouviez me dire comment résoudre ces erreur !
Merci d'avance.

Commentaire de Shibo_Sources le 17/12/2005 22:49:15

10/10 ??
Franchement, c'est foot codé. Aucune indentation, les if/else sans {}(super pas conseillé), des <??> partout ce qui rend le code illisible....

J'ai dl ton script pour l'utiliser, 2h plus tard j'ai fini de recoder tout ton script d'une façon PROPRE. Rhalala, sa ne sert a rien de poster des script inutilisable ou/et illisible.

Commentaire de Shibo_Sources le 17/12/2005 23:15:52

J'ai parfaitement compris cet aspect, ce "gros" atous...

Il n'empeche que ta source reste "bordelique" et illisible. Et c'est SA que je te reproche. Tellement illisible que je n'ai eu d'autre choix que de tout recoder d'un facon P-R-O-P-R-E.

L'indentation c'est pas bien dure quand même! C'est comme les {}. Tu prefere mettre 5 echo sur la meme ligne plustot que de mettre deux malheureuse guillements... (exemple repris de ton code.)

Donc, OUI ma contribution est utile car si tu code comme un manche alors personne ne lis ton code et donc personne n'apprend réellement. Ils utilisent ton code sans savoir ce qu'il y a derrière...

Commentaire de Cabelec le 22/12/2005 14:05:48

salu a tous !! et d'abord je te félicite mavounet pour le taf ke tu a fait. seulement en php je sui le beginer des beginers, et je ne compren pa pourkoi sur mon serveur ( 1and1 ) , kan je tape l'adresse du répertoire, le message suivant s'affiche :
"Fatal error: Lost connection to MySQL server during query in /homepages/31/d125492146/htdocs/admin/connexion.php on line 13".

et d'ailleur comen utiliser phpmyadmin pour mon serveur ?
Je vous remerci d'avance !!!

Commentaire de mavounet le 22/12/2005 14:51:58

Pardon pour la frappe, les touches du clavier (daté au carbonne 14 vers 1792) du boulot sont très très dures ...

Commentaire de Cabelec le 22/12/2005 21:43:20

par contre encore une petite question...
pour PhpMyAdmin, quels fichiers dois je copier? comment et où?
parce que je ne m'y connais rien et après le troisième efferalgan, je te redemande de l'aide !!! lol
merci d'avance !!

Commentaire de SliWoiD le 10/01/2006 10:00:23

Juste un petit message pour féliciter Mavounet pour la clarté de ses réponses :D Le code ne me sert pas étant donné que j'ai développé le mien mais je l'ai testé par curiosité, le travail est clair et les notes attribuées sont méritées :p
Quant à tes posts sur la sécurité (https & Co.) je confirme ce que tu dis, tu expliques bien, j'y vois d'ailleurs plus clair !
Bonne continuation !

Commentaire de mavounet le 10/01/2006 10:08:33

merci, tu me diras combien je te dois... Ne poste pas deux fois, j'avais compris la première...
Un admin m'a déjà reproché sur ce site des notes non méritées pour une nouvelle source que je souhaitais poster. Je crois qu'avec les commentaires que tu viens de faire les soupçons ne vont pas cesser :s. Merci d'envoyer ce genre de messages en privé et d'utiliser cet espace pour des critiques ou questions. J'y répondrai volontier. Merci quand même :)

Commentaire de ludovicanceaux le 03/02/2006 21:20:57

Reslt tous le monde, j'ai un autre pb pour la source, seulement il ya pleins de choses ki ont changer depuis la dernière fois, dejà j'ai appris à me servir d'easyphp, dc c cool, mais le truc c ke maintenant o lieu de faire un lien direct vers le fichier connexion, je passe par des includes seulement maintenant le code marche plus, (j'ai fai des tests, quand je passe par un lien direct (ex:Admin\Connexion.php) mais kan je passe par une include ca marche +. Mon URL est fait de cette facon (http://127.0.0.1/MySite/index.php?page=Connection) et en fait sur ma page index il y a $URL = $_SERVER['QUERY_STRING'];
if(! empty ($URL)) { //Si l'URL n'est pas vide
list($chaine1,$chaine2)=explode('=',$URL);
if (file_exists($chaine2. ".php")) //Si ce fichier existe
{ include($chaine2. ".php"); } //On l'ouvre
else {//Par contre si il ne trouve pas l'URL
switch ($chaine2){ //C'est que c'est une otre page à ouvrir
case "Connection";
include ('Admin\Connection.php');
break;}
} }
else{
include ("Index1.php");}?>

Et en fait je comprend pas ca me marque:
Warning: session_start(): Cannot send session cookie - headers already sent by (output started at e:\mes documents\ludo\mysiteweb\index.php:3) in e:\mes documents\ludo\mysiteweb\Admin\Connection.php on line 3

Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at e:\mes documents\ludo\mysiteweb\index.php:3) in e:\mes documents\ludo\mysiteweb\Admin\Connection.php on line 3

Merci pour votre aide ca fait maintenant 2 jours ke je cherche le pb mais je trouve pô, merci!!!!!!!!

Commentaire de red_devil617 le 19/02/2006 02:02:07

ca marche mais il y a un warning dans tous les pages que je voulais securisé :
Notice: A session had already been started - ignoring session_start() in c:\program files\easyphp1-8\www\applicationhm\RecherchePd.php on line 3
trouve moi une solution svp, et merci

Commentaire de Gecko62 le 28/03/2006 19:09:29

Toutes mes excuses pour mon précédent message,

mais j'ai trouvé les raisons de mes problèmes !!

mon problème pour le changement du mot de passe était dû à ma requête UPDATE qui était mal rédigée (mélange de INSERT et de UPDATE)

Pour le problème des fichiers placés dans des sous-dossiers, il ne s'agissait que de la position du script de vérification et d'authentification
            session_start(); // On relaye la session
             if (session_is_registered("authentification"))
qui doit absolument se trouver en début de page (avant les premières balises HTML)

En espérant que cela éclairera un peu la lanterne d'autre webmasters débutants comme moi.

Encore une fois grand merci à Mavounet pour ses scripts fort utiles et très bien documentés

Commentaire de administrateurlinux le 29/03/2006 01:13:52

Bonjour,

Premièrement bravo et top bien ce scripte.

J'ai une quetsion quand mème, si une personne me dit "msieu, je peux ravoir mon mot de passe je le sais plus", je fais quoi ?

y a t'il moyen de lui redonné ?

Merci d'avance

Commentaire de administrateurlinux le 29/03/2006 11:23:34

Et je pourais faire sa comment, sachant que dans la base de donnée faus la mètre a jour.

Commentaire de griggione le 06/05/2006 17:56:21

Bonjour

Juste avant d'entrer dans l'asile du coin.........

J'ai tout suivi comme il faut,créé un compte admin,virer toto,etc...ok.
Comme rien n'est indiqué dans lisez-moi,j'ai mis ces lignes trouvée ici, en début de la page ou je désire l'espace membre:
<?php
session_start();
if (session_is_registered("authentification"))
?>

Ensuite,pour vérifier,je me suis déconnecté,ben je rentre toujours sur cette page.
Comment faire pour verifier ce que verra l'invité en arrivant sur cette page?

Commentaire de Xini28 le 25/05/2006 21:23:15

J'ai un problème. J'essaie de me connecter avec l'utilisateur 'toto' et le mot de passe 'mdp', ceux indiqué par défaut, mais cela ne fonctionne pas. Il m'indique une erreur de connexion. Vous sauriez d'où peut provenir l'erreur?

Commentaire de sly535 le 18/06/2006 21:29:07

Vraiment tres bien ce script, et je félicite tout particulierement la documentation !!! tres bon travail.

Commentaire de MagiXX le 30/06/2006 09:29:34

Bonjour, merci pour ce code bien simpa, mon petit souci a moi, c'est qu'il m'es impossible de me logguer sous firefox, tandis que sous IE sa marche bien..:/

mon erreur sous firefox:

Echec d'authentification !!! > Aucune session n'est ouverte ou vous n'avez pas les droits pour afficher cette page

je suis héberger chez 1&1, j'ai créé un repertoire sessions, j'ai bien inséré les données SQL, tout marche parfaitement sous internet explorer alors que sous firefox sa bug. si toutefois quelqu'un a eu le même soucis sa serait simpa s'il puisse m'aider.

Merci d'avance.

Commentaire de tussjean34 le 01/11/2006 15:34:30

Je trouve ce script génial !!!Mais , je chercherais un script avec un formulaire et mot de passe perdu pour pouvoir retrouver son passe.Merci de votre aide et très bon code Mavounet !

Commentaire de Bumblebee_19 le 08/11/2006 21:37:47

Bonsoir à tous, on l'a déjà dit, mais félicitations pr ce code.. Ca aide les débutants (comme moi) à mieux comprendre la génialité (je sais, ce mot n'existe pas) de php..

Cependant, car il y a tjs un cependant... J'suis en train de faire un site qui nécessite 5 statuts, qui auront la possibilité de mettre à jour séparément des pages de news (nouvelles dates de réunion pr les mouvements de jeunesse). J'ai réussi à créer de nouveau statut,  seulement je n'arrive à faire la redirection comme indiquée :

==> Dans la zone d'affichage admin :
header("Location:URL SI USER SIMPLE")  <==

J'avoue que je ne vois pas trop où est cette partie d'affichage admin, je cherche, je teste mais ne trouve pas et demande donc votre aide! :)

A ce propos, est-ce que je peux, pr ma page d'ajout de News, mettre les valeurs de la table dans l'url et la reprendre comme variable (mapage.php?mabase=user1 par exemple)? Est-ce que le risque est grand de se faire hacker (vu que cette partie est déjà protégée par mdp)? Et si oui, comment s'en protéger?  A moins tt simplement que le langage SQL n'accepte pas le php (ex : mysql_query('SELECT * FROM <?php echo $mabase; ?> WHERE id=' . $_GET['modifier_news']); )

Ne me fustiger pas si j'avance ici des âneries phénoménales... J'apprends!  Peut-être grâce à vous!

Merci d'avance!

Commentaire de fernandodecreney le 23/01/2007 22:10:09

Sincèrement, super clair les scripts, j'ai apporté mes modifs sans aucun soucis et ça a fonctionné du premier coup.
Bravo, et merci pour ta grande contribution qui permet à des auto didactes comme moi d'avancer.
note 10/10

Commentaire de lbasic le 25/01/2007 16:38:06

J'ai oblié :
note 10/10

@++

Commentaire de imel le 31/01/2007 21:36:33

bonsoir au fait mon pb est resolu, c'etait du cote de l'hebergeur ke ca machait pas, ducoup tout est rentre dans l'autre une fois kil a fait les manips necessaire...
une fois de plus 10/10 pour le script

Commentaire de kikong le 23/02/2007 22:46:27

Bonjour à tous,

je viens d'installer ce code sur mon site internet.
J'ai rempli la page connexion, mais quant j'arrive sur la page index je rentre mon login et mot de passe, et un message d'erreur comme quoi mon login ou mot de passe n'est pas autorisé Alors que je les ai rentré.

Est-ce que vous voyez une solution?

Meerci d'avance

Commentaire de akuseru le 12/05/2007 21:07:41

Merci pour ce super script ! Bien commenté et tout :D
10/10

Commentaire de sylvico le 03/07/2007 17:47:10

Je suis daccord avec vous tous, génial !
Cependant, j'aimerais orienter les simples utilisateurs sur d'autres pages.
Quelqu'un peut-il m'aider sur le code à ajouter pour vérifier que la personne est bien connectée avant d'afficher les pages demandées ?? je ne connais pas php, et votre aide me serait très précieuse...!! Merci pour votre travail sur ce script !!

Commentaire de kiwikiller le 28/01/2008 10:24:57

Superbement bien expliqué, c'est génial pour apprendre. Merci beaucoup.

Commentaire de Moritus le 28/01/2008 23:26:25

hey bien merci pour cette petite explications

Commentaire de lechris66 le 21/02/2008 20:16:28

Bonjour,
Une petite remarque, le mot de passe est transmis en clair sur le réseau, pour le vérifier utiliser un snifer, vous verrez, la variable login et pass en clair.
Ensuite il faut ajouter une variable au mot de passe du style timestamp ou autre, car une simple recherche dans une table Rainbow md5, vous donnera le mot correspondant au md5.

Pour palier au défaut du mot de passe en clair, ont peut utiliser le md5.js avec une fonction en javascript, du style :

Dans la page index.php
modif de la variable $pass = addslashes($_POST['pass']);  

<script language="javascript" src="md5.js"></script>
<script language="javascript">
<!--  
  function cryptemd5pass() {
     str = document.connect.pass.value;
     document.connect.pass.value = hex_md5(str);
  }
// -->
</script>

<table width="300"  border="0" align="center" cellpadding="10" cellspacing="0" bgcolor="#eeeeee" class="tableaux">
    <tr>
      <td width="50%""><div align="right">Login.......... :</div></td>
      <td width="50%"><input name="login" type="text" id="login" maxsize="20"></td>
    </tr>
    <tr>
      <td width="50%""><div align="right">Mot de passe.......... :</div></td>
      <td width="50%"><input name="pass" type="password" id="pass" maxsize="20"></td>
    </tr>
    <tr>
      <td height="34" colspan="2"><div align="center">
      <input onClick="return cryptemd5pass();" type="submit" name="Submit" value="Se connecter">
      </div></td>
    </tr>
  </table>

Pour le md5.js : http://pajhome.org.uk/crypt/md5/index.html
Pour les tables Rainbow : http://www.antsight.com/zsl/rainbowcrack/


Voilas pour ma contribution.
@plus
Sinon bravo pour la source !

Commentaire de sgenos le 08/04/2008 18:06:22

Ou peu t'on télécharger la derniere version de ce source?

cordialement

Commentaire de luc743 le 21/04/2008 13:47:11

Nul !!!

C'est nul a lieu de pompé des scripts la vous les membres vous pouvez pas vous les faire !!! hein !!


C'est sa le php programmer c'est propre script !

Si on pompe tous sur d'autre site et pas il y a plus de plaisir !

Commentaire de fasila le 23/05/2008 15:11:07

SALUT MON POTE BON CODE,mais l'adresse que tu posté pour les mise à jour ne fonctionne pas , peut tu le corriger, c ca:
http://www.borrat.net/sources.php

Commentaire de nhefti le 25/09/2008 15:54:16

Top, ça fait 10 jours que je cherche ça !

Beau boulot, et en plus c'est mis à jour;) J'adore.

Commentaire de nhefti le 25/09/2008 22:53:14

J'ai une question : si quelqu'un a perdu son mdp comme cela arrive tout le temps ... Y a t il un moyen de lui restituer ?

De mon côté je pense non car on le stocke seulement une fois hashé. Dans ce cas comment faire ? stocké le mot de passe non hashé autre part ?

Commentaire de nhefti le 26/09/2008 22:43:17

C'est pas vraiment que ce j'appelle "restituer" un mot de passe, mais ça doit avoir le mérite de marcher.

Merci Gmelle.

Commentaire de nino31 le 30/03/2009 16:10:53

Bonjour(soir) à tous,

Cette source m'interresse beaucoup, seulement, quand je vois les coms à propos des failles de sécurité, j'hésite...

Y aurait-il un bon codeur qui pourrait poster une version sécurisée de cette source qui, apparement, me semble très interressante pour le reste ?

Le cas échéant, au 30 mars 2009, quelle est la dernière version sécurisée et ou peut-elle être téléchargée.

Merci à tous

Commentaire de nino31 le 30/03/2009 16:11:13

Bonjour(soir) à tous,

Cette source m'interresse beaucoup, seulement, quand je vois les coms à propos des failles de sécurité, j'hésite...

Y aurait-il un bon codeur qui pourrait poster une version sécurisée de cette source qui, apparement, me semble très interressante pour le reste ?

Le cas échéant, au 30 mars 2009, quelle est la dernière version sécurisée et ou peut-elle être téléchargée.

Merci à tous

Commentaire de nino31 le 30/03/2009 16:16:10

Désolé pour le bug, j'ai du cliquer 3 fois pour pouvoir valider le commentaire, résultat...

Commentaire de nino31 le 05/04/2009 18:11:47

ARTA, pour chaque page protégée, tu copies les codes (en haut de page), comme sur l'exemple de la page "accueil.php".
Puis, aux endroits désirés sur tes pages, tu inclus les lignes d'affichage conditionnel, tout comme sur le modèle accueil.php

Il est vrai que pour les novices, ce n'est pas très bien expliqué...

Bon code

Commentaire de arta le 05/04/2009 18:37:27

RE
Ben non, erreur:

Warning: main(connexion.php) [function.main]: failed to open stream: No such file or directory in /homez.57/xxxxx/xxxxx/fra/log0.php on line 1

Fatal error: main() [function.require]: Failed opening required 'connexion.php' (include_path='.:/usr/local/lib/php') in /homez.57/xxxxx/xxxxx/fra/log0.php on line 1

Commentaire de arta le 06/04/2009 12:42:30

Bonjour NINO31
Ca avance doucement.

1)Pour la base, les infos sont bonnes puisque je pouvais entrer en admin.
2)J'ai changé le code et c'est bon.
3)Par contre pour le sript a mettre dans les pages sécurisées, il faut rajouter ce commantaire:
header("Location:index.php?erreur=intru"); // redirection en cas d'echec, sauf si cette page n'est pas dans le même repertoire, si c'est le cas, indiquer le bon chemin.

On arrive donc dans l'espace pour entrer le login et pass.
Une fois fait, soit sous admin soit sous utilisateur, le renvoi va vers une page 404.
Et si on sort et qu'on clique à nouveau sur le lien de la page désirée, on entre alors sans problème ????

Commentaire de Khaos_882 le 21/04/2009 16:26:54

Mea Culpa!

J'ai oublié de modifié un paramètre dans connexion.php à savoir

$dbprotect que je n'ai pas corrigé...

Commentaire de oxydrine2004 le 31/08/2009 15:02:36

Bonjour à tous...
Débutant en Php, je passe assez souvent ici afin de parfaire mes connaissances et d'en apprendre un peu plus. Un grand merci aux couches tard qui investissent du temps pour faire avancer les choses. Mais je constate régulièrement que certains ont la critique "non constructive" ce qui me rebute à poster mes sources perso...
Lorsque je lis les commentaires de "Maitre REVINC", je manque de motivation ! Bizzard, non ?
Au lieu d'écrire "T'es nul" ou bien "Ca vaut rien ton truc" et autres, sache une chose Môssieur, nous sommes tous passés par la phase apprentissage, même toi !!!
Marche à l'ombre...

Commentaire de FXPHANTOM le 02/01/2010 21:48:14

Bonjour à tous !
J'ai deux problèmes dont je n'arrive pas à résoudre , mais pour vous peut être une formalité .

Problème 1 :
lorsque je lance la page accueil.php aprés la connexion a mon compte un message d'erreur apparaît : Deprecated: Function session_is_registered() is deprecated in (... acceuil.php).

Problème 2 :
je souhaites adapter d'autres données à ma table utilisateurs (ville adresse etc) . J'ai inséré ce qu'il fallait dans ma base sql . Mais lorsque j'essaie de l'adapter au fichier accueil.php et que j'essai de l'afficher à partir d'internet explorer rien ne s'affiche . par exemple : j'ai inséré la commande suivant : <span class="donnee"><?php echo $_SESSION['ville']; ?></span> correspondant dans ma table à "ville" .

Alors que dois-je faire ?

Merci d'avance !

Commentaire de arta le 03/01/2010 08:30:43

Bonjour tous

Il y a surtout que ce script date de 2004 et Mise à Jour: 18 septembre 2005 12:01:21
Beaucoup de chose ont évolué coté mysql mais aussi version php chez les hébergeurs.

Je ne sais pas si mavounet est toujours présent, mais lui ou un autre aurait vraiment une excellente idée en reprenant ce script, en le mettant au gout du jour et en corrigeant les petites erreurs qui permettrait de s'en servir simplement et facilement.

Un readme.txt clair et complet pour tous serait trés appécié ;-)