CodeS-SourceS est hébergé par Frontier.fr

Cliquez ici pour mettre ce site au démarrage de votre navigateur

AccueilCodesTutorielsForumsEmploiLivresGuide achatConnexion

begin process at 2009 07 05 04:47:33

SILVERLIGHT 3 : COMMUNICATION ET MULTICAST par KooKiz

[PERSO] DéCOUVERTES ESTIVALES : LINUX (PART I) par FREMYCOMPANY

[REFACTORING] RESHARPER POUR VISUAL STUDIO 2010 (PREVIEW) par tja

[REFACTORING] ANALYSER VOS EXCEPTIONS AVEC RESHARPER EXCEPTIONAL par tja

SHAREPOINT 2007 : PATTERNS & PRACTICES SHAREPOINT GUIDANCE par phil

RE : FILTRER UNE TABLE POUR NE PAS AVOIR DE DOUBLURE par jzeel

RE : COMMENT SECURIRISé UNE BD? par syndrael

RE : COMMENT SECURIRISé UNE BD? par lionceau79

RE : COMMENT SECURIRISé UNE BD? par syndrael

RE : COMMENT SECURIRISé UNE BD? par lionceau79

+ de logiciels à télécharger

1 464 546 membres
54 nouveaux aujourd'hui
15 045 membres club

Trouver une ressource

Trouvez une ressource parmi 40 096 codes, 1 302 921 messages d'aide etc...

Recherche: dans [ Dernières recherches ]

Vous ne trouvez pas de réponse à votre problème ? Alors posez la question dans le forum. Souvenez-vous qu'il n'y a jamais de question bête, mais rester dans l'ignorance parce que l'on n'ose pas poser une question, ça c'est une erreur !

SÉCURITÉ : EVITER LES INJECTIONS SQL ET LES ACCÈS AUX PAGES SANS AUTORISATIONS SPÉCIAL POPUP

Information sur la source

Catégorie :Sécurité & Cryptage Classé sous : popup, injection sql, securise Niveau : Débutant Date de création : 06/10/2007 Vu : 5 527

Auteur : merkhaled

Site perso

Ecrire un message privé

Note :
Aucune note

Commentaire sur cette source (45)

Ajouter un commentaire et/ou une note

Description

Cas pratique :
-une interface de connection : login et mot de passe, une fois connecté un popup se lance et ouvre la page qui correspond au login/mot de passe.
le gros problème est d'eviter l'accès aux pages, si elle sont lancée en dehors du popup.

l'idée est de donner une clé aléatoire à chaque connexion, et de l'enregistrer dans une table (log) (avec l'adresse ip et le timestamp) avant de lancer le popup.

Une fois le popup ouvert, tester si la clé a été deja validée, dans ce cas : intru ! ! , sinon aller dans la table (log) et valider la clé pour qu'elle ne soit plus utilisable.

Source

dans la page d'authentification :
<?
$taille = rand(4, 8);
$c1 = array('b', 'c', 'd', 'f', 'g', 'h', 'j', 'k', 'l', 'm', 'n', 'p', 'q', 'r', 's', 't', 'v', 'w', 'x', 'z', 'dd', 'ff', 'll', 'mm', 'nn', 'pp', 'rr', 'ss', 'tt');
$c2 = array('a', 'a', 'a', 'e', 'e', 'e', 'i', 'i', 'o', 'o', 'u', 'u', 'y');
$code="";
//generation du code
for ($i=1;$i<$taille;$i++) $code .= ($i%2==0)?$c1[rand(0, count($c1)-1)]:$c2[rand(0, count($c2)-1)];
//on peut encore ajouter un nombre, pour augmenter les possibilités
$code .= "" . rand(0, 99);
$ip=$_SERVER["REMOTE_ADDR"];
$code= MD5($code);
$SQL_nouveau = <<<FDT
INSERT INTO `log` ( `clef` , `valide` , `ip`)
VALUES ( '$code','', '$ip');
FDT;
$result=mysql_query($SQL_nouveau);
?>
<script language=javascript>
window.open(theURL+"?code=<?echo$code;?>",'popup',
'toolbar=0, location=0, directories=0, status=0, scrollbars=1, resizable=0, copyhistory=0, menuBar=0,fullscreen=0,width='+screen.width+', height='+screen.height);
?>
---------------------
dans la page popup.php
$SQL_02 = <<< FDT
SELECT count(valide) FROM log where clef='$code' and ip='$mon_ip' and valide="0000-00-00 00:00:00";
FDT;
if($result=mysql_query($SQL_02)){
while($ligne=mysql_fetch_row($result)){
$nbr= $ligne[0];
}
}
$connect="0";
if($nbr=="1")
{
$connect="1";
$modif_reponse = mysql_query("UPDATE `log` SET
`valide` = NOW()
WHERE clef ='$code'") or die("database connexion error1");
}
else
{
$connect="0";
die("connexion refusée");
}

dans la page d'authentification :
<?
$taille = rand(4, 8);
$c1 = array('b', 'c', 'd', 'f', 'g', 'h', 'j', 'k', 'l', 'm', 'n', 'p', 'q', 'r', 's', 't', 'v', 'w', 'x', 'z', 'dd', 'ff', 'll', 'mm', 'nn', 'pp', 'rr', 'ss', 'tt');
$c2 = array('a', 'a', 'a', 'e', 'e', 'e', 'i', 'i', 'o', 'o', 'u', 'u', 'y');
$code="";
//generation du code
for ($i=1;$i<$taille;$i++) $code .= ($i%2==0)?$c1[rand(0, count($c1)-1)]:$c2[rand(0, count($c2)-1)];
//on peut encore ajouter un nombre, pour augmenter les possibilités
$code .= "" . rand(0, 99);


$ip=$_SERVER["REMOTE_ADDR"];

$code= MD5($code);

$SQL_nouveau = <<<FDT
INSERT INTO `log` ( `clef` ,  `valide` , `ip`) 
VALUES ( '$code','', '$ip');
FDT;

$result=mysql_query($SQL_nouveau);

?>
<script language=javascript>

window.open(theURL+"?code=<?echo$code;?>",'popup',
  'toolbar=0, location=0, directories=0, status=0, scrollbars=1, resizable=0, copyhistory=0, menuBar=0,fullscreen=0,width='+screen.width+', height='+screen.height);

?>


---------------------

dans la page popup.php



$SQL_02 = <<< FDT
SELECT count(valide) FROM log where clef='$code' and ip='$mon_ip' and valide="0000-00-00 00:00:00";
FDT;
if($result=mysql_query($SQL_02)){
while($ligne=mysql_fetch_row($result)){
$nbr=	$ligne[0];

}
}


$connect="0";

if($nbr=="1")
{
$connect="1";

$modif_reponse = mysql_query("UPDATE `log` SET 
`valide` = NOW() 
 WHERE clef ='$code'") or die("database connexion error1");



}
else
{
$connect="0";


die("connexion refusée");

}

Conclusion

merci de donner vos comm

Sources de la même categorie

CODEC D'OBFUSCATION DE LIEN HTML (PHP5) par masternico

GÉRER UN .HTPASSWD par coockiesch

SERSESSIONS > CLASS PHP5 POUR GERER LES SESSIONS SIMPLEMENT par Astalavista

PROTECTION CONTRE LES FAILLES CSRF : CROSS SITE REQUEST FORG... par aKheNathOn

SECURISATION D'UNE ZONE par liptibilly

Toutes les sources de la catégorie Sécurité & Cryptage

Sources en rapport avec celle ci

WEB VIDÉO V1.0 LECTEUR VIDÉO POUR VOTRE SITE WEB par Orbit

SIMPLE FONCTION TEST LIEN RAPIDSHARE par badreov

Commentaires et avis

Commentaire de malalam le 06/10/2007 23:02:14 administrateur CS

Hello,

ça n'a aucun rapport avec les injections SQL ton truc.
Et dans les pages à accès restreint, tu fais quoi au juste? Ton code est très incomplet, là.
En l'état, je vois mal l'avantage par rapport à une technique plus classique de session, ou de HTTP Realm.

Commentaire de merkhaled le 06/10/2007 23:21:25

dans le popup, j'ai une frame a gauche : menu et a droite : corps,

le frame se lance avec le passage du code en GET, je le récupère dans la frame du menu, et je verifie dans la bdd si ce code est "validé" ou pas, s'il est validé, c'est qu'il a deja été utilisé, et donc je met un <input type=hidden id=droit value="0"> et s'il na pas été activé, je met<input type=hidden name=droit value="1"> et je met a jour la bdd (jactive la clé),
dans toutes les pages, si jai besoin dune connection a la bdd, jai un include(connect.php) qui contient les infos de connections, et aussi qui vérifie si top.parent.getElementById("droit").value==1 ou sinon redirection vers intru.php ;), donc pour avoir la connection a la bdd, il faut etre dans la frame qui se lance de mon site, et avec un code de verification. jespère que j'été clair :)

Commentaire de merkhaled le 06/10/2007 23:23:09

dans la page connect.php :
--------------------------

<SCRIPT LANGUAGE="JavaScript">

var test=top.parent.gauche;
if(!test)
{
top.window.location.replace("intru.php");

}
else
if(top.parent.gauche.document.getElementById("droit").value!="1")
{
top.window.location.replace("intru.php");
}

</script>

Commentaire de codefalse le 06/10/2007 23:27:20 administrateur CS

le probleme c'est que certains utilisateurs (type Aol a ce qu'il parrait), ont une ip qui change aléatoirement donc ton truc est moyen pour ca.
Il faut travailler sur les sessions, c'est apparement l'une des meilleures solutions pour le moment.

Niveau 'travail sur la sécurité', il n'y a pas de rapport comme dirait Malalam.

A vrai dire il n'y a pas vraiment de sécurités complètement sures pour une protection de fichier / repertoire (outre le htaccess). Les sessions peuvent être détournée, une ip aussi, etc...

Pour ton code, il y a des choses bizarres, dans ta popup, tu utilise la variable $code et $mon_ip ainsi que la resource sql n'ont pas été crées donc si je reprends ton code comme celui que tu a donné, ca ne marchera pas.
Les codes comme celui ci sont déjà légions sur phpcs, si tu veux te faire remarquer, essaye de faire un code qui dépasse celui des autres, sinon il tombera dans le code basique et sera supprimé, ce qui est compréhensible.

Re-travaille dessus et met-le à jour, ca peux aboutir à quelque chose d'efficace.
Par contre, change de titre :p

Commentaire de merkhaled le 06/10/2007 23:37:07

j'ai juste donné une idée, j'ai pas donne un code qui marche, celà n'empeche que ca marche très bien chez moi, je ne sait pas si tu as vraiment compris l'idée...

regarde la demo sur http://ns25643.ovh.net/ , ca ne marche que sous IE, et il faut que tu authorise les popup.

et je pari que tu pourra pas afficher des pages (qui communiquent avec la bdd) de ce site, sans passer par le popup, c'est à dire sans se logger correctement.

Commentaire de merkhaled le 06/10/2007 23:41:00

et meme si les uilisateurs comme ceux d'aol ont une ip qui change, ca se passe en meme pas une seconde ! le temps du lancement du poup, on enregistre l'ip avant douvrir le popup, on lance le popup et on verifie si c la meme ip, le meme code et si la clé na pa été activée ;)

Commentaire de merkhaled le 07/10/2007 00:10:46

up!

Commentaire de codefalse le 07/10/2007 00:41:03 administrateur CS

"up !" ?? :)

Si j'ai bien compris l'idée, et je veux bien croire que ton code marche chez toi (sinon il ne serai pas en ligne), mais alors quel est l'intérêt de mettre un code qui ne marche pas "j'ai pas donne un code qui marche" ?
Je dit pas ca pour te descendre, mais si je suis monsieur qui débute en php et qui cherche à proteger une page, je tombe sur ton script, et je passe 3 jours à comprendre pourquoi il ne marche pas. Ou est l'intérêt ? Le but de mettre des codes, c'est pour pouvoir les réutiliser par la suite, et là ce n'est pas le cas.

Concrètement, si on veut parler de ton idée, elle n'est pas bonne sur plusieurs points. Outre les points déjà abordés (par moi et Malalam), il y a le probleme de compatibilité ; si ca ne marche que sur IE, c'est encore plus restrictif comme code. En plus, il faut que l'utilisateur ait le javascript d'activé. Ok il y en a de plus en plus, mais il reste encore des visiteurs qui ont bloqués leur javascript.

Il y a peut-être un point à travailler, mais pour le moment, c'est pas utilisable

Commentaire de coucou747 le 07/10/2007 13:07:25

ca permet juste de verifier qu'un type est passe par la bonne page, (utilise les SESSIONS pour ca, pa de requete SQL...)

quand a ton "up", t'es pas le seul a le faire, je te demande simplement d'eviter d'encombrer nos boites mails pour rien... c'est pas un procede intelligent que de dire "up" juste pour qu'on s'occupe de toi...

Commentaire de merkhaled le 08/10/2007 17:01:48

si je pouvait garder la session après ouverture du popup, j'aurais pas fait ca... justement, c'est le problème, après ouverture d'un popup on pert les variables sessions !
et je up si j'ai envie, j'apprécie pas trop la manière dont tu m'as répondu ... toi qui est si intélligent ! !

Commentaire de codefalse le 08/10/2007 17:04:52 administrateur CS

et c'est reparti pour une nouvelle polémique ...

Commentaire de webdeb le 08/10/2007 18:02:24

>> et je up si j'ai envie, j'apprécie pas trop la manière dont tu m'as répondu ... toi qui est si intélligent

Il peut se le permettre à mon avis à la vue de ses compétences et du code que tu fournis...

Commentaire de malalam le 08/10/2007 18:26:22 administrateur CS

"après ouverture d'un popup on pert les variables sessions"
Meuh non.
Tu perds tes variables de session dans ton popup parce que tu oublies de faire un session_start() dans la page appelée par le popup, c'est tout.

Et on se calme messieurs, svp.

Commentaire de phpajax le 08/10/2007 18:29:38

si si je le fait pourtant ! je pense qu'il faut passer en paramètre PHPSESSID=session.id()

Commentaire de malalam le 08/10/2007 18:37:53 administrateur CS

C'est automatique sauf si tu as trifouillé ton php.ini.
Impossible que cela ne fonctionne pas sinon.

Commentaire de coucou747 le 08/10/2007 19:21:25

DOWN ! (et je down si j'en ai envie... si tu veux aller par la...)

au passage, le serv ne sait pas que c'est un popup, et les sessions, c'est sur le serv, faut juste que le client renvoi le cookie, je serais etonne qu'un client ne fasse pas suivre de cookie pour les ouvertures de popups... au pire, tu gardes le phpsessid en le passant par get...

Commentaire de phpajax le 08/10/2007 20:25:34

en tout cas, ca marche pas chez moi, je perd la session dans le popup... et en faisant une recherche sur google, je me rend compte que je suis pas le seul a avoir ce probleme... quelqun peut me donner un exemple "fonctionnel" de passage du phpsessid ?

Commentaire de coucou747 le 08/10/2007 20:34:53

<?php
session_start();

print_r($_SESSION);
$_SESSION['test']='test';
?>
<a onclick="javascript:window.open('test_popup.php', 'popup', 'toolbar=0, location=0, directories=0, status=0, scrollbars=1, resizable=1, copyhistory=0, menuBar=0,fullscreen=0');">test</a>

chez moi ca marche parfaitement...

Commentaire de phpajax le 08/10/2007 20:51:34

effectivement ca fonctionne si dans mon popup jet met

echo $_SESSION['test'];

mais si je met des frames :

<FRAMESET COLS="125,*" FRAMEBORDER="no" BORDER="0" FRAMESPACING="0">
<FRAME SRC="page1.php" name="gauche" scrolling=no>
<FRAME SRC="page2.php" name=corps>
</FRAMESET>
</FRAMESET>

j'ai plus accès aux sessions dans la page1.php et page2.php
:s

down ;)

Commentaire de coucou747 le 08/10/2007 20:58:31

t'as oublie un session_start, c'est pas possible autrement...

Commentaire de phpajax le 08/10/2007 21:02:54

j'ai oublié de le préciser dans mon post sinon dans ma page elle y est !

Commentaire de coucou747 le 08/10/2007 21:11:46

faut voir la source, mais serieux, ca ne vient pas de ca

Commentaire de phpajax le 08/10/2007 21:16:53

test_session.php :
<?
session_start();

#print_r($_SESSION);
$_SESSION['test']='test';

?>
<a onclick="javascript:window.open('test_popup.php', 'popup', 'toolbar=0, location=0, directories=0, status=0, scrollbars=1, resizable=1, copyhistory=0, menuBar=0,fullscreen=0');">test</a>

------------------

test_popup.php :

<FRAMESET COLS="125,*" FRAMEBORDER="no" BORDER="0" FRAMESPACING="0">
<FRAME SRC="page1.php" name="gauche" scrolling=no>
<FRAME SRC="page2.php" name=corps>
</FRAMESET>
</FRAMESET>
-------------------

page1.php:

<?
session_start();
$toto=$_SESSION['test'];

echo $toto;
?>

la variable toto est vide !

Commentaire de malalam le 08/10/2007 21:44:20 administrateur CS

Chez moi cela marche.
J'ai bien "test" qui s'affiche dans ma popup dans la frame page1.php.

Commentaire de phpajax le 08/10/2007 21:45:33

comment on enoi le session.id ? PHPSESSIONID ?? ca commence a se compliquer...

la solution de MERKHALED, c'est du bricolage, mais ca fonctionne, c'est une bonne technique qd meme ... :/

Commentaire de phpajax le 08/10/2007 21:46:39

MALALAM, tu croit que je doit voir mon php.ini ??? car chez moi je perd les sessions dans les frames...

Commentaire de titou_doc le 08/10/2007 21:48:59

------------------

{MANQUE}

test_popup.php :

<FRAMESET COLS="125,*" FRAMEBORDER="no" BORDER="0" FRAMESPACING="0">
<FRAME SRC="page1.php" name="gauche" scrolling=no>
<FRAME SRC="page2.php" name=corps>
</FRAMESET>
</FRAMESET>
-------------------

{MANQUE} = session_start();

avec ca tu devrais avoir moins de probleme

Commentaire de titou_doc le 08/10/2007 21:50:32

pardon j'oublie les balise <?php {MANQUE}?>

Commentaire de phpajax le 08/10/2007 21:54:51

TITOU_DOC ca ne change rien le fait d'ajouter session_start() dans test_popup.php, il parait qu'il faut envoyer le sessionid qd on utilise des frames...

malalam ca marche chez toi ??? c'est que le probleme vient de ma config de php ?

Commentaire de titou_doc le 08/10/2007 22:03:54

tu n'essaie qu'en local chez toi

Commentaire de phpajax le 08/10/2007 22:05:33

non je travaille en ligne, sur un serveur dédié sous Linux gentoo

Commentaire de coucou747 le 08/10/2007 22:06:42

"il parait qu'il faut envoyer le sessionid qd on utilise des frames" -> ou t'as lu ca ???

en local ou ailleur, ca change quoi ? c'est pas le fait que la machine appartienne a une entreprise qui fait quel est l'os, et quel est la version de php, ni sa conf... bref...

Commentaire de titou_doc le 08/10/2007 22:20:45

la question n'était pas là.
comme plus haut j'ai compris qu'il etait pas sur de sa config (de PHP), je me demander si il pouvait pas essayer sur un serveur tel que free? par exemple!

mais bon PHPAJAX tu as donc la main sur la config de ton serveur, puisqu'il t'est dedier.

la ou je bosse, il modifie la config du serveur de temps a autre, je bosse aussi a la maison et un beau jour les sess ne marchaient plus a mon taff, apres une journée a retourner mon code je me suis rendue compte que la config de PHP avait changé, aprés explication a l'admin de la boite (qui capte pas grand choses au PHP) et modif tout est rentré dans l'ordre.

voili...voilou

Commentaire de phpajax le 08/10/2007 22:28:05

mais je trouve que c'est pas logique... j'arrive a récupérer les sessions dans le popup, mais pas dans les frames !

coucou747, tu aurait peut etre une explication ? ou une solution? sachant que les variables session sont le pseudo et le mot de passe, et que je préfère pas les envoyer dans l'url.

Commentaire de phpajax le 08/10/2007 22:45:52

dans le popup j'arrive a récupérer les sessions, je pense a créer une fonction de cryptage du login et du mot de passe, les passer en url , et les décrypter dans la page1.php.

quelqun aurait une idée pour une fonction de crypatage?

coucou747, up ! et merci pour tes commentaires tres constructifs !

Commentaire de merkhaled le 08/10/2007 22:59:20

<?php

function password_decode($filter, $str)
{
   $filter = md5($filter);
   $letter = -1;
   $newstr = '';
   $str = base64_decode($str);
   $strlen = strlen($str);

   for ( $i = 0; $i < $strlen; $i++ )
   {
      $letter++;

      if ( $letter > 31 )
      {
         $letter = 0;
      }

      $neword = ord($str{$i}) - ord($filter{$letter});

      if ( $neword < 1 )
      {
         $neword += 256;
      }

      $newstr .= chr($neword);
   }

   return $newstr;
}

function password_encode($filter, $str)
{
   $filter = md5($filter);
   $letter = -1;
   $newpass = '';

   $strlen = strlen($str);

   for ( $i = 0; $i < $strlen; $i++ )
   {
      $letter++;

      if ( $letter > 31 )
      {
         $letter = 0;
      }

      $neword = ord($str{$i}) + ord($filter{$letter});

      if ( $neword > 255 )
      {
         $neword -= 256;
      }

      $newstr .= chr($neword);

   }

   return base64_encode($newstr);
}

// exemple d'utilisation :

$str = 'Salut ça va ?';

echo 'phrase d\'origine : <b>' , $str , '</b><br />';

$str1 = password_encode('mot de passe', $str);

echo 'encodage en utilisant le mot de passe "mot de passe" : <b>' , $str1 , '</b><br /><br />';

$str = password_decode('mot de passe', $str1);

echo 'décodage de ' , $str1 , ' avec le bon mot de passe : <b>' , $str , '</b><br />';

$str = password_decode('mot de passe2', $str1);

echo 'décodage de ' , $str1 , ' avec le mot de passe "mot de passe2" : <b>' , $str , '</b><br /><br />';

?>

Commentaire de coucou747 le 08/10/2007 23:01:47

down ! cette fois ci c'est trop... serieux, c'est un procede que je trouve revoltant...

Commentaire de malalam le 08/10/2007 23:13:31 administrateur CS

De toute manière, ça ne sert strictement à rien d'écrire "up". Si les gens n'ont pas envie de répondre, ils ne répondent pas. Et si les emails reçus à cause de ces "up" ne leur plaisent pas, ils finiront par ne plus aller voir.
Mais "up" DANS un commentaire, c'est stupide, PHPAJAX. Le site ne t'obéit pas en remontant ton thread en haut...t'es pas sur un forum, et au cas où tu ne l'aurais pas remarqué, les codes ne bougent jamais de place. Quoi que tu fasses.

Commentaire de codefalse le 09/10/2007 08:57:59 administrateur CS

sinon il y a l'option "supprimer ce code" ou un truc du genre dans ton panneau de gestion, si je me trompe pas, n'est-ce pas Malalam ?

Cette discussion n'a pas lieu d'être ici, mais plutot dans un forum... a mon avis ...

Commentaire de malalam le 09/10/2007 13:53:33 administrateur CS

Ce code a l'intérêt de montrer une autre façon de valider une identification. C'est pour ça que je le laisse. Même si là, dans ce cas précis, je n'en vois pas l'utilité.
Mais ça peut l'être dans d'autres cas. Mais oui...en effet, il y a toujours la suppression du code si les choses n'avancent pas dans le bon sens. Ou des commentaires...

Commentaire de codefalse le 09/10/2007 14:01:47 administrateur CS

ah on peux supprimer des commentaires ?
c'est nouveau ca nan ?
Sinon (j'ai pas testé pour pas polluer) mais est-ce qu'il y a un laps de temps entre deux posts de commentaires ? car ca risque de vite flooder nos boites non ?

Commentaire de malalam le 09/10/2007 14:40:13 administrateur CS

JE Peux supprimer des commentaires ;-)
Non ce n'est pas nouveau, ça a tjrs été ainsi.

Oui il y a un anti-flood.

Commentaire de coucou747 le 09/10/2007 20:32:18

et au moins entre le 06 et le 08 l'auteur aura pris conscience de la domination du <?php sur le <?, meme si ca ne sert a personne

(il parait que nix n'aime pas que les admins suppriment trop de codes (il parait) )

Commentaire de malalam le 09/10/2007 20:38:40 administrateur CS

Nix est comme tout le monde : on supprime un code quand on a de bonnes raisons de le faire. Dans ce cas, pas de soucis. Sinon, soucis. Normal quoi.
Bon...on arrête les commentaires n'ayant aucun rapport avec ce code.
PHPAJAX, t'en es où de tes déboires avec les sessions ?

Commentaire de phpajax le 09/10/2007 20:51:05

alors,
je vais etre bref;
la page authentification.php (verification du login et mdp):
<?php (ou <?, je vois pas la différence)

function password_encode($filter, $str)
{
   $filter = md5($filter);
   $letter = -1;
   $newpass = '';

   $strlen = strlen($str);

   for ( $i = 0; $i < $strlen; $i++ )
   {
      $letter++;

      if ( $letter > 31 )
      {
         $letter = 0;
      }

      $neword = ord($str{$i}) + ord($filter{$letter});

      if ( $neword > 255 )
      {
         $neword -= 256;
      }

      $newstr .= chr($neword);

   }

   return base64_encode($newstr);
}

   $username =  $_POST['username'];
   $password =  $_POST['password'];

   $filtre=     "toto";

  $log_enc=password_encode($filtre, $username);

  $mdp_enc=password_encode($filtre, $password);

?>

<SCRIPT language="JavaScript1.1">

larg = screen.width;
haut = screen.height;

fen = window.open("popup.php?code1=<?echo$log_enc;?>&code2=<?echo$mdp_enc;?>",'page',
  'toolbar=0, location=0, directories=0, status=0, scrollbars=1, resizable=0, copyhistory=0, menuBar=0,fullscreen=0,width='+screen.width+', height='+screen.height);
</SCRIPT>

page popup.php

<title></title>
<?

$log_enc=$_GET['code1'];
$mdp_enc=$_GET['code2'];

?>
<FRAMESET COLS="125,*" FRAMEBORDER="no" BORDER="0" FRAMESPACING="0">
<FRAME SRC="menu.html" name="gauche" scrolling=no>

  <FRAME SRC="accueil.php?code1=<?echo$log_enc;?>&code2=<?echo$mdp_enc;?>" name=corps>
</FRAMESET>
</FRAMESET>

accueil.php:

<?php
session_start();

$log_enc= $_GET['code1'];
$mdp_enc= $_GET['code2'];

$_SESSION['login']=$log_enc;
$_SESSION['mdp']=$mdp_enc;

?>
<script language=javascript>

window.location.replace("page1.php");

</script>

là j'ai réussi a mettre en session le login et le mot de passe, en crypté

je vous laisse deviner la suite ;)

merci a MERKHALED pour les fonctions de cryptage/décryptage ca été très utile

Ajouter un commentaire

Discussions en rapport avec ce code source dans le forum

Fenetre popup [ par apz ] salut,en trouvant des problemes de mail avec multimania, pour que les utlisateurs m'envoient leur commentaires, je voulais realiser une autre chose en Redirection depuis un popup [ par apz ] bonsoir, dans un menu, l'utilisateur doit cliquer sur un lien pour s'enregistrer. ce lien fait appel a un popup, qui contiendra le fichier register.ph afficher une image popup sous php [ par izgnougoud ] Bonjour, Voilà j' à créé mon catalogue sous php/MySql. je me heurte à un dernier problème et je souhaiterais savoir si quelqu'un peut me dépatouiller frames popup bug aléatoire javascript [ par pcpourtous ] jai 2 frames : une a gauche et une a droitema frame de droite ouvre une popupde ma popup je veux mettre a jour un champs d'un formulaire de ma frame d liste déroulante / popup [ par CC24 ] bonjour à tous !je fais appel à vous car j'ai un problème que je n'arrive pas à résoudre. je m'explique : sur ma 1ère page, j'ai une liste déroulante. enregistrement temps passé sur la page [ par DarkLanfeust ] salut à touskk1 pourrait-il me donner un script qui enregistre dans une base de données le temps qu'un visiteur (identifié par un cookie) passe sur la HELP ME!! [ par iomega ] bonjour à tous je vais ré-expliquer le message que j'ai envoyé hier car il n'est pas très clairen fait j'ai une page principale qui est nouveau_docume Probleme avec serialize et unserialize [ par matou82 ] J'ai un objet que je serialize et passe en paramètre dans l'url d'un popup.Dans ce popup je le unserialize. Il s'agit d'un objet possédant une fonctio pb pour ouvrir un popup en php [ par herveguedj ] j'ai une fonction javascript <SCRIPT LANGUAGE="JavaScript">function popup(page) { window.open(page,'popup','width=300,height=200,toolbar=false,s Mettre du code sur une popup [ par cedd ] Bonjour!Voilà, je veux afficher une image dans un pop up en cliquant sur un lien (jusque là ca va! :o) )Mais je voudrais desaciver le clic droit sur l