MOT DE PASSE POUR SITE WEB EN PHP

Commentaire de wouwou1 le 14/04/2007 08:35:23

Salut.

Tu ne fais que récupérer deux variables. Il faut que tu testes tes variables par rapport a celles dans ta BDD. Sinon je suis au regret de t'annoncer que ton script ne sert à rien.

Comme ca, ca protège déjà un peu mieux :


<?

if(isset($_POST) && !empty($_POST['login']) && !empty($_POST['password'])) {
  
  
  
$database = mysql_connect('hote', 'utilisateur', 'pass');


mysql_select_db('ta_base',$database);
  

  $mysql = "SELECT password FROM ta_table WHERE login='".$_POST['login']."'";
  $req = mysql_query($mysql) or die('Erreur SQL !<br>'.$mysql.'<br>'.mysql_error());

  $data = mysql_fetch_assoc($req);

  if($data['password'] != $_POST['password']) {
    
     echo "Ton Pass ne correspond pas à celui de la BDD";  

   }
  else {
       session_start();
       $_SESSION['login'] = $_POST['login'];

    echo "Tu es bien connecté";

}  
}
else {

   echo "Tu as oublié de remplir un champ";

}


?>

# <form method="post" action="exemple1.php">
# <label>Nom d utilisateur : <input type="text" name="login" /></label><br />
# <label>Mot de passe : <input type="password" name="password" /></label><br /><br />
# <input type="submit" value="Envoyer" />
# <input type="reset" value="Rétablir" />
# </form>


Certes c'est pas du grand art mais ca marche.
Apres faut que tu protèges chacune de tes pages d'administration, mais je vais pas tout te faire y'a déjà plein de codes là dessus.

Bye

Commentaire de wouwou1 le 14/04/2007 12:53:26

Bien Maître...lol

Bye

Commentaire de wouwou1 le 15/04/2007 00:44:56

Reste calme FhX... ;-)

Dis moi pourquoi ma méthode n'est pas bonne.
Je suppose que c'est une faille de sécurité???
Ca m'aiderai parce que tous les sites que j'ai fait ont ce script...

Bye

Commentaire de FhX le 15/04/2007 20:41:32

Non, ce n'est pas une faille. C'est une erreur de logique.

Le login et le pass, c'est un couple. Tu testes un couple... donc tu testes 2 choses en même temps.
Ce que tu peux faire en 1 temps tu le fais en 2 :
--> Le fait de récupérer le mot de passe de la base de donnée en testant le login.
--> Le fait de tester le mot de passe après sa récupération.

Pourquoi ne pas inclure ce double test directement en SQL ? Comme si SQL ne savait pas faire ce genre de chose ! C'est une perte évidente de temps... En plus, à quoi cela va servir de dire "Erreur de mot de passe" ? A rien du tout. Autant dire que le couple login/pass est mauvais et on en parle plus.

Imaginons un scénario type :
J'ai un utilisateur en mode super-user (ayant tous les droits sur le site), mais dont le login est inconnu pour tout le monde (nous dirons que son login, c'est xxxadminxxx, son pass yyyadminyyy). Je me fais un petit robot et je balance un gros dictionnaire ou n'importe quel type de bruteforce.
Donc avec ta méthode, je vais tester :
-> xxxadmin ==> (pas de msg d'erreur, cela est dû à une erreur de programmation de ta part, tu n'as pas testé le fait qu'un login pouvait être mauvais.)
-> xxxadminx ==> pareil
-> xxxadminxx ==> pareil
-> xxxadminxxx ==> "Ton Pass ne correspond pas à celui de la BDD"

Ouh la, grosse erreur !! La, ca veut dire que le robot sait que le login existe, mais que le mot de passe est mauvais. Et la, attend toi au pire.

Avec ma méthode, si le login ou le passe est mauvais, il renverra toujours la même erreur. Impossible de savoir si c'est l'un ou l'autre qui est mauvais.


Je ne parle même pas de perte de temps d'éxécution dû au ( if ($data['passwd']) == $_POST['passwd']) ) qui exécute un strcmp() en C donc une instruction inutile ici quand, dans ta requète SQL, tu peux faire un COUNT(*) qui est plus rapide.

Voila pourquoi je déconseille très fortement le test en PHP, il ne sert à rien.

Commentaire de bluedemon le 16/04/2007 09:37:24

Pour moi, en tant que professionnel aussi et surtout internaute, j'aime savoir si c mon login ou mot de passe qui est bon ou pas, ça m'évite de chercher lequel n'est pas bon. C'est vrai que c'est un couple, mais normalement le login est la clef primaire ou une clef sans doublon, le mot de passe sert de sécurité. Quand on fait un enregistrement dans une table, pour savoir qui l’a effectué, on enregistre le login de l'utilisateur, permettant ainsi de mettre comme une sorte de mouchard. Je me vois mal mettre le login et mot de passe dans une table pour un mouchard.

Commentaire de kankrelune le 16/04/2007 16:24:15

Euuuuuh... le fait de tester le mot de pass en php ne veut pas dire que l'on révèlera au final lequel à mal été taper... là je te rejoins FhX c'est un mauvais point coté sécurité et pour moi la question ne se pose même pas... personnellement je teste mon pass via php tout simplement parce que je m'en ressers après, notamment en session, et que je n'ai pas envie (et ça serait idiot) de refaire une requête en BDD à chaque fois que j'en ai besoin... .. .

@ tchaOo°

Commentaire de kankrelune le 16/04/2007 18:41:46

Les mot de pass sont hashés avec sha1... et si je garde le hash chargé c'est parce qu'il me sert dans la création d'id... .. . ;o)

@ tchaOo°

Commentaire de Teclis01 le 18/04/2007 00:16:01

Pardonnez mon intrusion mais je viens d'arriver et euh je voudrais savoir ce que cette source apporte ? Les commentaires oui mais la source ...?

Commentaire de kankrelune le 10/07/2007 10:51:56

@ piranhaworld... non je stock les deux car l'id est à usage unique... .. .

@ tchaOo°