begin process at 2012 02 15 22:22:14
  Trouver un code source :
 
dans
 
[ Dernières recherches ]
Accueil > 

Code

 > 

Base de données

 > SYSTEME D'AUTHENTIFICATION ET D'ADMINISTRATION SIMPLE

SYSTEME D'AUTHENTIFICATION ET D'ADMINISTRATION SIMPLE


 Information sur la source

Note :
8,33 / 10 - par 3 personnes
8,33 / 10

  • 1

  • 2

  • 3

  • 4

  • 5

  • 6

  • 7

  • 8

  • 9

  • 10
Catégorie :Base de données Classé sous :sql, mysql, db, authentification, administration Niveau :Débutant Date de création :29/07/2006 Vu / téléchargé :16 065 / 3 303
Auteur : bizzard4

Ecrire un message privé
Ce membre participe au partage de revenus publicitaires
Commentaire sur cette source (16)
Ajouter un commentaire et/ou une note

 Description

Cliquez pour voir la capture en taille normale
Bonjour!

C'est ma première vrai source après le "Hellow World" basique. Je me suis ici attaqué aux bases de données. J'ai créé un système d'authentification et d'administration plutôt simple.

Vous pouvez :
(User)
-Créé un compte
-Te logger et voir tes informations
(Admin)
-Activer les comptes
-Supprimer les comptes

L'interface est très simple d'utilisation.
Pour l'installation juste lire le ReadMe.txt


 Conclusion

Bon si quelqu'un trouve une injection SQL possible ou un XSS exploit dite le dans les commentaires pour que le monde sache ce que c'est, écrivez aussi comment l'arrenger.

J'ai aussi décidé après avoir tout fini de faire le système d'activation alors il est peu être un peu tiré par les cheveux.

L'account et le mot de passe de l'admin par défault (Si vous avez copier/coller la ligne dans le ReadMe) sera Acc:admin Pass:admin

Le fichier de configuration est config.php ne pas l'oublier car rien va marcher.

 Fichier Zip

Les Membres Club peuvent télécharger directement un fichier contenu dans le zip sans télécharger le zip en entier !

Télécharger le zip


 Sources de la même categorie

Source avec Zip RECHERCHE DES DOUBLONS DANS UNE TABLE MYSQL EN SÉLECTIONNANT... par aladec2007
[CRON] INSERT ON DUPLICATE KEY UPDATE par pierreSabatier
Source avec Zip CLASS MYSQL 5/PHP5 AVEC GESTION DES EXCEPTION ET DES REQUÊTE... par devil_may_cry
Source avec Zip Source avec une capture MOTEUR DE RECHERCHE SUR BASE MYSQL FULLTEXT ET BOOLEAN AVEC ... par cod57
SYSTÈME DE PAGINATION AVEC BDD ET IMAGES (FICHIERS) par begueradj
Toutes les sources de la catégorie Base de données

 Sources en rapport avec celle ci

Source avec Zip Source avec une capture CONVERTIR BASE FIREBIRD EN MYSQL par castelfrederic29
Source avec une capture SQL/EXE EXECUTEUR DE REQUETTES SQL par enokbyreal
Source avec Zip CLASSE SQL par benjycorp
Source avec Zip PORTAGE PDO DE MES ANCIENNES PUBLICATIONS par 8Tnerolf8
Source avec Zip Source avec une capture SAUVEGARDEZ VOTRE BASE DE DONNÉES (MYSQL) AUX FORMATS CSV ET... par J_G

Commentaires et avis

Commentaire de bizzard4 le 02/08/2006 22:05:27

Si quelqu'un peut repondre. Je suis entrain de faire une system de NEWS tres complet mais le probleme c'est qu'il marche en function de la source si dessu. Esceque je devrais reposter le tout avec le system de news ou faire une mega modification que personne va voir?

Commentaire de thekid23 le 05/08/2006 01:53:00

Oui tu devrait tres bonne sources :D Merci ;P

Commentaire de shynobi le 09/08/2006 19:42:13

je pense aussi que ca marchera sans probleme
bonne chance

Commentaire de emilia123 le 13/08/2006 23:16:55

bonsoir à tous,

j'ai remarqué une petite erreur de fonctionnement dans la sécurité....

exemple avec admin_panel.php:

<?php
if ((isset($_POST['fm_ad_login'])) AND (isset($_POST['fm_ad_password']))) {
  echo '<h3>Adminstration Panel</h3><br>';
  show_tmp_user();
  show_user();
} else {
  echo 'Vous navez pas les droits dadministratoin!';
}
?>

- en premier il manque l'inclusion du fichier de fonction (mais ca ne doit etre qu'un petit oubli)

- en second et plus grave, avec firefox il est trés facile de modifier/rajouter des variables en POST. du coup, on peut trés facilement afficher la liste des utilisateurs temporaire et complet.

qu'est ce qui m'empeche du coup de lancer directement la page admin_panel.php, en ajoutant les variable POST et afficher la liste des utilisateurs sans etre identifiée?????

de la meme facon... qu'est ce qui m'empeche de supprimer tous les comptes temporaire en appelant:
supcompte.php?t=tmp&uid=1 , supcompte.php?t=tmp&uid=2 etc.

pareil pour l'activation des comptes...

Il n'y a pas d'authentification dans ces fichiers annexe.

on peut donc au final, en plusieurs étaptes, se créer un compte, lister les comptes pour trouver le numéro du compte, et l'activer.

voila voila...
j'attendrais la prochaine version pour mettre une note ;)

biz

Commentaire de bizzard4 le 14/08/2006 01:02:00

Je connait deja cette erreur, car je n'utilisse pas les sessions :S Mais tout cela devrait etre beaucoup mieu quand je vais le refaire avec les sessions (Prochaine Version) je revien cher moi jeudi je vais surement m'attaquer a cela.

Pour l'oublie de l'include de la function c'est parce que normalement l'admin va dans la page 'admin_panel.php' en passant par 'administration.php' alors l'include est deja fait. Si j'en met un il me balance une erreur du genre Notice : Functoin.inc.php already declare ou qkk chose du genre.

Ce qui en meme temps empeche a n'importe qui d'aller sur la page 'admin_panel.php' car il faux apsolument passer par 'administration.php' car sinon il n'a pas de functions alors aucun utilisateur n'est affiche.

A t'il une facon d'ouvrir la page 'admin_panel.php' tout en aillant acces au function de 'functions.inc.php' ? (sans passer par 'administration.php')

Merci de la remarque prochaine versoin n'aura pas ces erreurs.

Commentaire de emilia123 le 14/08/2006 07:36:54

bonjour,

ok pour l'inclusion de fonction, on ne peut pas lister les éléments dans ce fonctionnement la.

un petit conseil: il faut essayer d'être constant dans le fonctionnement de tes scripts.
si dans un cas le script est appelé directement, dans un autre il faut passer par une page qui fait un include, et un troisième cas ou .... , etc, tu risques de ne pas réussir à relire tes scripts dans 1 ou 2 années.

pour la sécurité de l'inclusion, tu peux utiliser un define dans le script principale:
ex define('INCLUSION_AUTORISE','oui');
et dans tous tes scripts inclus
if (INCLUSION_AUTORISE!='oui')
{
  die('pas le droit de me lancer directement');
}

sinon il est vrai qu'il est assez important d'utiliser les sessions, avec un test en haut de chaque page, comme cela tu limites les failles de sécurité aux utilisateurs déjà identifiés
voila voila..
bonne continuation.
biz



Commentaire de bizzard4 le 17/08/2006 20:51:35

Merci beaucoup je ne connaissait pas la function INCLUSION_AUTORISE je vais faire en sorte de men servir dans la prochaine version.

Commentaire de emilia123 le 17/08/2006 20:57:55

bonsoir,

INCLUSION_AUTORISE n'est pas une fonction... c'est un element que tu défini à un endroit du script (dans le define) et qui ensuite gardera toujours cette valeur, jusqu'à la fin du script.

en gros dans le script principale tu défini ton élément avec la valeur à 1 (ou "oui" ou vrai) et dans le script que tu inclus, tu vérifi le contenu de l'élément.. si ce n'est pas la bonne valeur c'est qu'il n'est pas passé par le script principal donc c'est surement un appel direct à ton script...

voila voila.
biz

Commentaire de fireuo le 17/08/2006 21:21:01

a okok dls javais mal comprit je comprend la merci ! :)

Commentaire de bizzard4 le 17/08/2006 21:25:36

a okok dls javais mal comprit je comprend la merci ! :)

(Dls pour le double post mais jetait sur mon autre account sans le savoir :S )

En passant sous firefox il m'est impossible de deconecter :S je suis sur IE la et sa marche mais pas sur FireFox :S

Commentaire de bizzard4 le 10/05/2007 22:54:19

Ta juste a lire les explications finales juste en haut.

Commentaire de peloo le 11/06/2007 22:49:20

lol le gars il se repond a lui meme 9mois plutard XD

Sinon ta source alair tres interressante je vais la tester de suite pour la partie admin de mon site

Commentaire de Yukiz le 01/05/2008 00:37:50

Bein voilà, j'ai adopté ton code, super, merci !
Mais il y a un petit truc, d'après la loi, webmaster a l'obligation, sur demande de son proprietaire, de supprimer, rectifier, etc, ses données.
Aussi, d'apres la loi, webmaster a l'obligation de ne pas obliger l'utilisateur a donner des informations personnelles. CAD que quand nous nous inscrivont, l'internote doit marquer son nom et son prénom. Dans le cadre de mon site il n'est pas imperativement necessaire. Donc je ne dois pas l'obliger a taper cela.

Voilà quelques chose qui rendra ton code un peu plus 'légal'. Merci encore !
http://yukserv.dnsalias.com/index.php?id=6 Visualise ton travail :)

Commentaire de peloo le 01/05/2008 00:55:18

http://www.cnil.fr/index.php?id=1928

Commentaire de Yukiz le 01/05/2008 01:06:28

Merci :) ( Je ne voulais pas chercher :P )
Ce qui prouve bien mes textes.

Commentaire de dan4 le 22/05/2010 12:37:11

Peut-être un tard vu la date d'aujourd'hui, cependant, Firefox offre des modules qui permettent de tester les fails XSS et les Injections SQL.

Le site officiel :
http://labs.securitycompass.com/index.php/exploit-me/

J'ai testé mes choses et ça m'a permis de corriger mes erreurs. En plus du Web Développer qui permet de corriger plusieurs autres problèmes lié à la programmation.

Le site officiel :
http://chrispederick.com/work/web-developer/

Pour le développer du script et autres à qui cela peut intéressé.

 Ajouter un commentaire


Discussions en rapport avec ce code source dans le forum

besoin d'aide pour cree encore des tablo [ par agentTMORT ] je veut que lorsque une requete sql soit post& un tableau soit cree pour cette source voici mon codemysql_select_db('rockmagazine',$db) or die ("conne Erreur Mysql [ par FearBlue ] Slt a tous!!!!jai une erreur mysql :je v vous montrer mon code c en rapport avec LIKEif(isset($HTTP_POST_VARS['recherche'])){$db = mysql_connect('loca *** où est lerreur ? [ par kodiask ] $db = mysql_connect('******', '******', ''); mysql_select_db('*****',$db); $sql = 'SELECT nom,prenom FROM *****'; $req = mysql_query($sql) or die('Err Recherche MySQL [ par restesouple ] Bonjour,En fait je n'arrive pas &#224; utliser les formulaire pour faire un moteur de recherche, j'ai lu plusieurs codes et essay&#233; ca ne fonction php/pear/mysql [ par manymal ] Bonjours &#224; toi source de connaissances. j'ai une erreur : "Fatal error: Call to a member function on a non-object in c:\program files\easyphp While inverse [ par Tilix ] Bonjour,Je voudrais savoir comment faut-il faire pour invers&#233; l'arriv&#233; des donn&#233;es dans une table mysqlSource personnel :&lt;?php$db = Problème avec les variables [ par tom10000 ] &lt;?php // Je fais passer ma variable ( je suis sur la page index.php et je veux aller sur cette page ( suppr.php?id=123 ) ) $id = $_GET["id"] // on prob verif donné [ par cobrachris ] Bonsoir, d&#233;sol&#233; de vous d&#233;ranger encore une fois.J'ai encore un probl&#232;me, j'ai cr&#233;er un espace membre, ainsi qu'un formulaire Date mysql [ par theseif ] Bonjour &#224; vous, Le script ci-dessous me sert &#224; enregistre une date saisie en fran&#231;ais dans BD mysql, mais sa ne marche pas.Pouvez-vous Lecture dans une db MySql [ par rems02 ] Voil&#224; j'ai un petit probleme:apres connexion &#224; ma base de donn&#233;es MySqlje veux recuperer des donn&#233;es qui se trouventdans un tablea


Nos sponsors


Sondage...

CalendriCode

Février 2012
LMMJVSD
  12345
6789101112
13141516171819
20212223242526
272829    

Consulter la suite du CalendriCode
 
Développement réalisé par Nicolas SOREL (Nix) avec l'aide de : Cyril DURAND et Emmanuel (EBArtSoft), Merci à Vincent pour ses précieux conseils.
CodeS-SourceS.com© Toute reproduction même partielle est interdite sauf accord écrit du Webmaster
CodeS-SourceS.com© est une marque déposée tous droits réservés

Google Coop CodeS-SourceS Google Coop CodeS-SourceS
Temps d'éxécution de la page : 4,321 sec (4)

Nous contacter | Annoncer sur CodeS-SourceS | Mentions légales
Outils Convertisseur VB/C# Snippets et scripts Outils en ligne La ToolBox
Communauté Programmation Photographie Technologie Newsgroups Emploi Forum Blogs
Guide d'achat Téléphonie mobile Image et son Informatique Bureautique Jeux vidéo
Logiciels Internet & Réseau Développement Market Android Jeux & Loisirs Graphisme Multimédia Sécurité Pilotes
Loisirs Cartes virtuelles Vidéos droles Jeux en ligne Géoguide AndroLib (Android Market)