Welcome to da noob!

Marsh Posté le 29-11-2005 à 14:00:59

Salut les amis (futurs ennemis )

voila je me suis mis au php/sql il ya bientot 2 mois de cela. N'ayant jamais programmé et ne voulons pas limité ma connaissance en création de site à des programmes tels que dreamweaver ou flash.. je me suis lancé dans l'aventure php/sql pour créer un site avec base de donnée dynamique..
jusque là tout va bien, la plupars de mes déboires ayants étés contrés!

mais la depuis 2 semaines je bloque.. oui je suis pas trop bête pourtant mais je reste complétement bloqué sur une histoire de SECURITE..

hé oui, c'est sérieux cette histoire de base de donnée, comme dit le vieu bercerker.. je veux pas que n'importe quel naab vienne pourrir le fruit de mon travail.. en envoyant des requetes insidieuses dans les fenetres de recherche, en utilisant les cookies pour se connecter apres un utilisateur loggé, en copier/coller d'une url loguée, bref foutre la m$^ù$ dans ma base de donnée avec un DROP TABLE par exemple..

c'est pourquoi.. dieu créa la femme.. euh non.. le javascript.. et ses formulaires a la cù$ .. bon je me propose de vous montrer ou j'en suis pour y voir plus clair.. :

1- page de log:

Code :

<?php
// Raccourcis
$name=$_POST[ 'name' ];
$password=$_POST[ 'password' ];
if (!isset($_POST['name'])&&!isset($_POST['password']))
{
// Les visiteurs doivent entrer un password
?>
<html>
<head> <p align="center"><img src="logo.jpg" width="408" height="96" /></p>
<title>
Merci de vous enregistrer
</title>
<script language="javascript">
function envoyer(){
if {(document.monform.name.value!="" &&document.monform.password.value!=""
document.monform.action = "logclient.php"
document.monform.submit())};
else {
alert("Saisissez vos identifiants" )
}
}
</script>
</head>
<body> <body background="fonduni2.jpg" text="#FFFF00" link="#0000ff" vlink="#800080" alink="#ff0000">
<h1>Le contenu de ce site n'est accessible qu'après enregistrement de votre part.<h1>
<form method="post" action="javascript:envoyer()" name="monform">
<table border="1">
<tr>
<th> Login </th>
<td> <input name="name" type=text> </td>
</tr>
<tr>
<th> Password </th>
<td> <input name="password" type=password> </td>
</tr>
<tr>
<td colspan="2" align="center">
<input type="submit" value="Log In">
</td>
</tr>
</table>
</form>
</body>
</html>
<?php
}
else
?>

2- ma page de vérification/validation du log:

Code :

<?
require_once('Connections/connexiondream.php');
mysql_select_db($database_connexiondream, $connexiondream);
session_start();
$name = $HTTP_POST_VARS[ 'name' ];
$password = $HTTP_POST_VARS[ 'password' ];
$sql = "select * from autorized_user where name='$name' and password='$password'";
$res = mysql_query($sql);
$nb = mysql_numrows($res);
if($nb!=0) {
$row = mysql_fetch_object($res);
$HTTP_SESSION_VARS['name'] = $row->name;
$HTTP_SESSION_VARS['password'] = $row->password;
$HTTP_SESSION_VARS['logclient_ok'] = "oui";
header("location:secretdb.php" );
}
else {
$HTTP_SESSION_VARS['name'] = "";
$HTTP_SESSION_VARS['password'] = "";
$HTTP_SESSION_VARS['logclient_ok'] = "non";
?>
<html>
<head><p align="center"><img src="logo.jpg" width="408" height="96" /></p>
<title>Eclairlab - Interface d'Administration</title>
<link rel="stylesheet" type="text/css" href="inclusion/style.css">
</head>
<body> <body background="fonduni2.jpg" text="#FFFF00" link="#0000ff" vlink="#800080" alink="#ff0000">
<center>
<table border="0" cellspacing="0" cellpadding="0" bgcolor="#ffffff" width="737" height="100%">
<tr>
<td height="100%" align="center" valign="middle">
<form name="monform" method="post" action="secretdb.php">
<p><font color="#074A75"><b>Login ou Mot de Passe incorrect !</b></font></p>
<p><input type="submit" value="Retour"></p>
</form>
</td>
</tr>
</table>
</center>
</div>
</body>
</html>
<? } ?>

enfin
3- la page dans le sous dossier connexion qui va permettre de ne pas afficher les log/pass admin dans la source de mes pages!:

Code :

<?php
# FileName="Connection_php_mysql.htm"
# Type="MYSQL"
# HTTP="true"
$hostname_connexiondream = "localhost";
$database_connexiondream = "auth";
$username_connexiondream = "root";
$password_connexiondream = "test";
$connexiondream = mysql_connect($hostname_connexiondream, $username_connexiondream, $password_connexiondream) or trigger_error(mysql_error(),E_USER_ERROR);
?>

bon alors déja je tiens a dire que je suis un semi noob, étant donné que mes pages de recherche et d'entrées sur la base de données fonctionnent et les 2 mois depusi lesquels je travail la dessus :bounce:
Mais.. je voudrais sécurisé le tout et je susi bloqué, pour ce faire j'ai meme u recours a l'aide d'un ami qui m'a gracieusement donné le plan des 3 fichiers que je viens de vous montrer.. ba oui je pouvais pas inventer cette technique quand meme (enfin l'hisoire de javascript et la page 3.. le html et php/sql je comprend a peu pres :lol: )

voila mon probleme.. outre ces salopries de undefined index pour :Notice: Undefined index: name in c:\program files\easyphp\www\secretdb.php on line 4

Notice: Undefined index: password in c:\program files\easyphp\www\secretdb.php on line 5

le isset ne fonctionne pas je m'arrache les cheveux..

mon probleme donc est que lorsque j'arrive a passer a la page 2 de vérification du log, il m'affiche que je n'ai pas le bon mot de passe ou utilisateur.. et je ne comprends pas pourquoi.. :cry:

ma base de donées : auth ma table : autorized_user et mes champs :
- user_id int(11) Non auto_increment
- name varchar(20) latin1_swedish_ci Non
- password varchar(10) latin1_swedish_ci Non

bien sur j'utilise easy php 1.8.0.1 oui je sais c'est mieux de tout gérer soit meme mais chaque chose en son temps s'il vous plait..

voila je crois avoir tout dit.. n'y connaissant rien en javascript est encore peu en php je suis bloqué.. malgres les différentes tentatives de changement de syntaxe etc.. :??:

P.S.:merci d'avance et désolé pour ceux que je saoulerai avec mes questions qui peuvent paraitre naabiques au plus haut point.. mais c'est pas faute d'avoir lu vos tutos.. ou au passage celui de bercerk sur la sécurité qui est incompréhensible en matière d'implémentation.. j'ai bien vu qu'il ya v une autre méthode et meilleure que celle que j'utilise d'apres lui mais concrétement comment je l'emploi?

Reply

Marsh Posté le 29-11-2005 à 14:00:59

Reply

Marsh Posté le 29-11-2005 à 14:08:00

Pas besoin de javascript pour faire ça. En plus c'est pas le js qui va t'aider à sécuriser ton site...
Donc refait tout avec:
- les contrôles du coté serveur,
- utilises $_POST plutot que $HTTP_POST_VARS et $_SESSION plutot que $HTTP_SESSION_VARS
- enleves les bouts de code qui servent à rien

Code :

$name=$_POST[ 'name' ];
$password=$_POST[ 'password' ];

- et pour le fun crypte le mot de passe en md5

Message édité par anapajari le 29-11-2005 à 14:08:43

Reply

Marsh Posté le 29-11-2005 à 14:10:50

thx

t1 je croyais que c t util c bouts de code la! bref ok je vais tester tout ca

Reply

Marsh Posté le 29-11-2005 à 14:16:45

oui donc quand tu dis.. : "les contrôles du coté serveur"

tu veux dire quoi? (noob spotted) :??:

Reply

Marsh Posté le 29-11-2005 à 14:32:16

Ton javascript sert à vérifier que login/pass ne sont pas vide.
Tu vires ton js et c'est dans ton php que tu fais ce controle.
En cas d'erreur, plutot que de faire un alert, tu affiches une page d'erreur!

Reply

Marsh Posté le 29-11-2005 à 15:13:02

ne stocke pas le password mais sa clée de hash plutot et compare ca (google MD5)

Reply

Marsh Posté le 30-11-2005 à 17:04:44

et controle les données passées en $_POST et $_GET.

surtout ne pas en balancer le contenu dans ta requete.

commence par un strip_tags($_POST['name'])

---------------
MZP est de retour

Reply

Welcome to da noob!

Sujets relatifs:

Leave a Replay