Accueil > Forum > > > > URGENT: Securiser pages administration
 URGENT: Securiser pages administration
lundi 7 juillet 2008 à 11:07:16 |
URGENT: Securiser pages administration
sjcbboy
|
Bonjour à tous! Je suis en train de faire un site pour une association sportives. J'ai fais des pages admin où ils pourront faire des tas de modifications (de breves, de tarifs, et encore pleins d'autres...). Cependant je souhaiterais securiser ces pages par mot de passe et login. J'ai déjà crée le formulaire d'authentification, mais maintenant je ne sais pas comment je dois faire. Les login et mot de passe doivent ils etre sauvegargé dans la BDD pour etre plus sécurisés? Que dois faire exactement pour securiser toutes les pages admin? Y a t il un script tout simple que je puisse utiliser? Merci de votre aide car je suis dans l'urgence car je dois mettre le site en ligne d'ici quelques jours. Merci infiniment P.S: je suis débutant en php  |
|
lundi 7 juillet 2008 à 11:20:21 |
Re : URGENT: Securiser pages administration
Bling 182
|
Ca date de 2004, mais c'est toujours d'actualité.
http://phpdebutant.org/article47.php
--
Développeur web freelance - Bling182 Dev : http://freelancedev.ovh.org - http://www.bling182.fr
|
|
lundi 7 juillet 2008 à 11:28:31 |
Re : URGENT: Securiser pages administration
nicomilville
|
Salut, Le principe c'est que tu as des identifiants enregistés dans une base de donnée et que tu fait une comparaison entre le pseudo et le mot de passe du formulaire et ceux du de la BDD ... Pour plus de sécurité, tu peus crypter le mot de passe en MD5 dans ta BDD et crypté celui entré dans le formulaire pour la comparaison, cela permet que si un hacker trouve une faille exploitable sur ton site, même si il récupère des mots de passes, il ne poura rien en faire car on ne peus pas décrypter le MD5 ! Dans ton form, utilise la methode post car sinon, si par malheur quelqun fait un copier/collé de l'URL et que la methode utilisé est le methode GET, il prendra le pseudo et le mot de passe avec l'URL (si la personne envoi le liens a plein de personne sans s'en rendre compte, je ne donne pas cher de son compte) Pour sécuriser toute les page d'administration, tu peus utiliser les session, c'est a dire, qu'a la connection tu créer une session avec le pseudo dedans et dans chaque page tu fais une condition pour vérifier si la session existe, si elle existe on peut afficher la page, sinon on redirige ou tu peus faire autre chose... Pour avoir un script, il te suffit de chercher sur google, yahoo, phpcs, etc... a++ Si la réponse vous convient, pensez : Réponse acceptée !  |
|
lundi 7 juillet 2008 à 11:31:07 |
Re : URGENT: Securiser pages administration
sjcbboy
|
Bonjour Bling 182! Encore toi qui vient à mon aide! Merci! JE voulais savoir déjà est ce plus sûr d'avoir le login et mot de passe dans la BDD ou c'est mieux avec htaccess?
Ensuite d'un point de vue pratique , je dois mettre en include sur chaque page que je veux protéger la page "verif.php"?
Merci de ton aide, je vais essayer le lien que tu m'as envoyé...et je te tiens au courant...Encore merci
|
|
lundi 7 juillet 2008 à 11:46:26 |
Re : URGENT: Securiser pages administration
Bling 182
|
Oui, sur chaque page que tu veux protéger, tu dois inclure la page vérif.php (ou c/c le code)
Les mots de passe, comme a dit nicomilville, c'est mieux de les mettre de facon cryptée dans une bdd, et de vérifier la version cryptée en sortie de formulaire.
en gros if (md5($_POST['pwd'] == $row['pwd'])
Le htaccess c'est une protection au niveau serveur, plus difficilement contournable (ya pas vraiment moyen d'injecter du code, etc) mais bon, ca implique une boite moche qui s'ouvre la premiere fois.
Par contre, tu proteges un dossier facilement comme ca (1 seul fichier)
--
Développeur web freelance - Bling182 Dev : http://freelancedev.ovh.org - http://www.bling182.fr
|
|
lundi 7 juillet 2008 à 12:23:54 |
Re : URGENT: Securiser pages administration
sjcbboy
|
Merci Blink et nicomilville pour votre aide. Concernant le mot de passe pour le crypter en MD5 c'est bien dans "fonction" que je sélectionne MD5? Et bien en mettant MD5 dans ma BDD ca me met : "Mauvais login / password. Merci de recommencer" alors que lorsque je mets pas MD5 ca me met vous etes bien logué.
Ensuite je copie bien le code "verif.php" dans la page à sécurisé, mais quand je l'ouvre je tombe sur la page sans me demander le login...
Que puis je faire? Merci
|
|
lundi 7 juillet 2008 à 12:31:01 |
Re : URGENT: Securiser pages administration
nicomilville
|
en fait dans ta BDD tu as bien enregistrer tes mot de passe crypté ? après pour la comparaison, as tu bien crypté le mot de passe du formulaire ? Pour tes pages a sécuriser, utilise les sessions comme je te l'ai iniqué plus haut ! De rien ! a++ Si la réponse vous convient, pensez : Réponse acceptée ! |
|
lundi 7 juillet 2008 à 12:35:47 |
Re : URGENT: Securiser pages administration
sjcbboy
|
pour crypter le mot de passe de la BDD fallais bien que je choisisse MD5 dans la liste déroulante de "fonction"?
Et comment je dois faire pour crypter le mot de passe dans le formulaire?
Pour ce qui est des pages a sécuriser j'ai copié ce code :
<?
session_start();
/*
si la variable de session login n'existe pas cela siginifie que le visiteur
n'a pas de session ouverte, il n'est donc pas logué ni autorisé à
acceder à l'espace membres
*/
if(!isset($_SESSION['login'])) {
echo 'Vous n\'êtes pas autoris? à acceder à cette zone';
include('login.htm');
exit;
}
?>
tiré de : http://phpdebutant.org/article47.php que m'a conseillé Blink182. Mais ca ne change rien pour moi...
|
|
lundi 7 juillet 2008 à 12:39:55 |
Re : URGENT: Securiser pages administration
nicomilville
|
ok, je ne vois pas de quelle liste déroulante tu parle mais sinon ça m'a l'air correct ! a++ PS : as tu une erreur ? Si la réponse vous convient, pensez : Réponse acceptée ! |
|
lundi 7 juillet 2008 à 13:02:47 |
Re : URGENT: Securiser pages administration
sjcbboy
|
J'utilise easyPHP et dans phpMYAdmin j'ai crée une table admin avec les champs login et password. quand j'insere ou modifie les données login et pswd j'ai le champ psw de type varchar(8) et on peut choisir fontion (ASCII, CHAR, SOUNDEX, LCASE, UCASE, PASSWORD, OLD_PASSWORD, MD5, SHA1 etc...)
Quand je mets rien ds "fonction" y a pas de problème , mais quand je mets MD5 ca me mets "Mauvais login / password. Merci de recommencer"
Mais je pense que c'est parce que je n'ai pas crypté le formulaire. Comment dois je faire pour le crypter le formulaire?
|
|
Cette discussion est classée dans : site, urgent, pages, administration, securiser
 Répondre à ce message
 Sujets en rapport avec ce message
authentification [ par marcoacera ]
Bonjour,je souhaiterais realiser une authentigication en php sur mon site, le htaccess me servirait a rien. tout le monde a access a toutes les pages,
générer des isographes EN PHP HTML pour site intranet URGENT [ par tsotb ]
Je dois réaliser un site intranet afin de visualiser une carte avec des prévisions "météo" -->isographesvoir site : http://www.wunderground.com/global
gestion dynamique du site [ par najat ]
je voudrais bien me donner une idée sur la gestion dynamique des sites par PHP tel que l'ajout de page au site en utilisant une base de donnée pour st
Comment protéger contre l'accé direct aux pages d'un site créer en Frames ?? [ par rem78 ]
Bonjour,Comme je l'indique dans le titre, j'ai réalisé un site weben frames pleins écranet je désir le protéger en bloquant l'accé direct aux pages qu
Bloquer l'accé direct aux pages d'un site réalisé en Frames [ par rem78 ]
Bonjour,Je cherche le moyen de pouvoir bloquer l'accès direct de mes pages par un visiteur mal intentionné et avec redirection automatique sur ma page
Membres + points + all site [ par escaflone1 ]
Bonjour,Voila sur mon site je désirais mettre une partie membres comme sur la plus part des site. Mais helas lorsque je recherce sur le site .. il mon
Contrôler et Protéger les pages d'un site et obliger le visiteur à venir depuis la page index du site [ par rem78 ]
Bonjour, Je cherche un script en php qui permetterais de protéger les pages d'un site et qui obligerais le visiteur à rentrer sur le site depuis la p
moteur de recherche ... [ par djagger ]
Salut !Je voudrais mettre un moteur de recherche sur mon site.Le problème c'est que tout est en PHP, je m'explique.En fait j'ai qu'une seule page, qui
Sécurité des pages [ par Ma2004 ]
Salut à tous !!J'ai une super question à vous poser !Il m'est arrivé lors de navigation de tomber sur la page racine d'un site (avec toutes les pages
Ch Script qui protège contre l'accès direct aux pages popup d'un site.. [ par rem78 ]
Bonjour,Voilà j'ai fait un site complet en page popup plein écran et je recherche un script en php, qui me permet d'en protéger l'accès direct aux dif
 Livres en rapport
|
Derniers Blogs
 ROSLYN FLUENT APIS: ROSLYNHELPER NUGET PACKAGEROSLYN FLUENT APIS: ROSLYNHELPER NUGET PACKAGE par Matthieu MEZIL
Si vous utilisez Roslyn et que vous vous voulez vous simplifier le code du code rewriter, je vous conseille d'installer mon NuGet package RoslynHelper ....(read more) ...
Cliquez pour lire la suite de l'article par Matthieu MEZIL POUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDNPOUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDN par neodante
Quelle est le point commun entre : Microsoft il y a 10 ans et Apple aujourd'hui ? Réponse: avoir une politique de protocoles propriétaires et fermés :) Car pour rappel (si si je vous assure c'est important de le rappeler), la majorité des spécifications e...
Cliquez pour lire la suite de l'article par neodante JOYEUX ANNIVERSAIRE NIXJOYEUX ANNIVERSAIRE NIX par ebartsoft
Souhaitons un bon et joyeux anniversaire à notre hôte à tous, Nix.
Je ne le répéterais jamais assez mais sans lui rien ne serait possible. Il défit en permanence les lois de la gravité et comme il le dit si bien, si tu lui fais confiance ça devra...
Cliquez pour lire la suite de l'article par ebartsoft IMAGINE CUP 2012, MAKE A SIGN EN FINALEIMAGINE CUP 2012, MAKE A SIGN EN FINALE par junarnoalg
Voilà qui est fait, la nouvelle est officielle ! L'équipe belge "Make a Sign" va au pays des kangourous défendre son projet dans la catégorie Software Design. http://www.imaginecup.com/CompetitionsContent/Competition/WorldwideFinalists.aspx V...
Cliquez pour lire la suite de l'article par junarnoalg KINECT 1.5 IS OUT !KINECT 1.5 IS OUT ! par Vko
La version 1.5 du Kinect For Microsoft vient tout juste de sortir ! Plein de nouveautés: Tracking de squelette en Near Mode Détection en position assise Détection faciale avec un SDK dédié Documentation et des guideline (enfin) Un out...
Cliquez pour lire la suite de l'article par Vko
Logiciels
 sDEVIS-FACTURES vlPRO (8.1.0.3)SDEVIS-FACTURES VLPRO (8.1.0.3)sDEVIS-FACTURES vlPRO a été mis au point pour les particuliers, créateurs, entrepreneurs, artisa... Cliquez pour télécharger sDEVIS-FACTURES vlPRO 974 Application Server (12.2.4.6)974 APPLICATION SERVER (12.2.4.6)Développez de puissantes applications dans un environnement de 'cloud computing', clusterisé, séc... Cliquez pour télécharger 974 Application Server vPicture (1.4.2.1)VPICTURE (1.4.2.1)Avec vPicture, hébergez vos images facilement et rapidement.
vPicture est un utilitaire simple, ... Cliquez pour télécharger vPicture Easy-Planning (2.2.1.6)EASY-PLANNING (2.2.1.6)Easy-Planning permet de créer des plannings sous la représentation de diagrammes et est adapté au... Cliquez pour télécharger Easy-Planning COM-BACKUP (2.0)COM-BACKUP (2.0)
COM-BACKUP est un logiciel de sauvegarde qui permet de planifier les sauvegardes de vos dossiers ...
Cliquez pour télécharger COM-BACKUP
|