acces securisé pour une administration

acces securisé pour une administration - PHP - Programmation

Marsh Posté le 11-02-2005 à 17:29:43    

Code :
  1. bonjour !!!
  2. je fais un petit module qui permet d'aceeder a une aprtie privee d'un site dynamique afin de l'administrer...
  4. seulement ma redirection suivant le mot de passe de marche pas...
  5. ca passe tout le temps... lol
  7. [fixed]
  8. if (isset($provenance)){
  9. if($provenance=="form_login" ) {
  11. include "./includes/connect.php3";
  12. $login = trim(htmlspecialchars(addslashes($login))); # Parsing du login
  13. $mdp = trim(htmlspecialchars(addslashes($mdp))); # parsing du password
  14. if( ( strlen($login)!=0) && (strlen($mdp)!=0) ) {
  15. $query="select * from user where login='$login' and mdp='$mdp'";
  16. $result=mysql_query($query);
  17. $nb=mysql_num_rows($result);
  18. } else { $nb = 0;}
  19. if ( $nb > 0)
  20. {
  21. $obj = mysql_fetch_object($result);
  22. session_start();//démarrage d'une session
  23. $_SESSION['id_user'] = $obj->num_user;
  24. $_SESSION['statut'] = $obj->statut;
  25. $nom=session_id();
  26. echo"$nom";
  29. echo"<script>window.opener.top.bottomFrame.location.reload();</script>";
  30. echo"<script>window.close();</script>";
  31.  } else {
  32.    unset($nb);
  33.    unset($provenance);
  34.    $action = "erreur";
  35.   }
  36. }
  37. }


 
le form....  

Code :
  1. <form name="form" method="post" action="./admin.php3">
  2.      
  3.   <input type="text" name="login" size="15">
  4.   <input type="password" name="mdp" size="10">
  5.    <input name="provenance" type="hidden" value="form_login">
  6.     <input type="submit" name="Submit" value="Valider">
  8. </form>


 
 
ca cloche mais je vois pas ou...
et dans ma base ya 3 champs : id, login, mot de passe mdp)
merci a tous par avance  :jap:  
 

Reply

Marsh Posté le 11-02-2005 à 17:29:43   

Reply

Marsh Posté le 11-02-2005 à 17:37:39    

Ben met des "echo" de temps en temps pour voir où ca cloche.
Là je vois pas où est le bug.
 
Au fait, le mot de passe en clair dans la base de donnée, c'est pas génial. Si pour x raison, quelqu'un voit le contenu de la table utilisateur, il poura se loguer sous n'imlporte quel compte, y compris ceux des admins qui ont le plus de droit.
 
Autre truc : essaye d'éviter au maximum le javascript. Ca ne marche pas chez tout le monde.

Reply

Marsh Posté le 11-02-2005 à 17:48:06    

tru crois? comment faut il faire ? faut stocké le mdp crypte alors? c possible sous mysql?

Reply

Marsh Posté le 11-02-2005 à 17:58:10    

Deja tu stockes les mots de passe en crypte avec md5 (ou autre), ensuite tu compares les version cryptees des mots de passe (tu cryptes celui que te donne le visiteur puis tu le compare a la version cryptee qui est dans la table).
Ensuite si tu veux faire une redirection, utilise plutot "header" au lieu du JS (attention, pour que header fonctionne, tu ne dois rien envoyer avant).

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed