Webmaster Hub > Partie administration

Poppy

samedi 2 juillet 2005 à 20:23

Yep

Je voulais intégrer une partie admin a mon script d'annuaire que je suis en train de finaliser

Je voulais qq chose de très simple

Genre si, je fais un formulaire avec login et mdp. Si les données saisies sont exactes, ça roule sinon, il bloque

Ca suffit ? Y a t il des problemes de sécurité ?

Merci d'avance ^_^

WewEB

samedi 2 juillet 2005 à 20:26

Bah... sans code on ne peut pas vraiment te conseiller...

Il peut y avoir des problèmes de sécurité graves dans un script très simple, comme il peut ne pas y en avoir dans quelque chose de complexe...

L'identification par un couple login/mot de passe, si ce couple est unique et stocké dans des variables "en dur" (et non dans une base mysql) parait effectivement moins risqué.

Poppy

samedi 2 juillet 2005 à 22:04

Genre, je stocke ces 2 variables dans config.php, par exmple

$login = 'toto'; $pass = 'titi';

Et pour mon formulaire,

si $_POST['login'] = $login et $_POST['pass'] = $pass

Un truc simple, ça suffit ?

Xtouch

samedi 2 juillet 2005 à 22:34

Proposer l'authentification en .htaccess pourrait être une bonne idée également.
Il ne faut pas que ce soit le seul moyen proposé, mais c'est une bonne solution.

Pour moi faire une condition avec un if ($pass == $_POST[pass] AND $login == $_POST[login]) ne pose pas vraiment de problème de sécurité.

Néanmoins, je te conseillerais de stocker le mot de passe en md5 dans ton fichier config.php. Cela permet que si une personne externe récupère ce fichier pour une raison x ou y, il ne puisse récupérer le mot de passe.

Ainsi la condition deviendrait : if ($pass == $_POST[pass] AND $login == md5($_POST[login]))

Néanmoins, cela oblige à proposer un formulaire de modification du mot de passe dans l'administration pour pouvoir coder le mot de passe en md5 avant de le stocker dans le fichier config.php.

Poppy

samedi 2 juillet 2005 à 23:00

CITATION(Xtouch @ samedi 02 juillet 2005, 23h34)

Proposer l'authentification en .htaccess pourrait être une bonne idée également.
Il ne faut pas que ce soit le seul moyen proposé, mais c'est une bonne solution.

Pour moi faire une condition avec un if ($pass == $_POST[pass] AND $login == $_POST[login]) ne pose pas vraiment de problème de sécurité.

Néanmoins, je te conseillerais de stocker le mot de passe en md5 dans ton fichier config.php. Cela permet que si une personne externe récupère ce fichier pour une raison x ou y, il ne puisse récupérer le mot de passe.

Ainsi la condition deviendrait : if ($pass == $_POST[pass] AND $login == md5($_POST[login]))

Néanmoins, cela oblige à proposer un formulaire de modification du mot de passe dans l'administration pour pouvoir coder le mot de passe en md5 avant de le stocker dans le fichier config.php.

Tout d'abord, merci d'avoir répondu

Ensuite, le md5 a l'air d'être une bonne solution. Mais si une fois l'avoir sotcker en md5 dans mon config.php, je l'oublie. Comment je peux le modifier si je l'ai plus accès à la partie admin ?

Xtouch

samedi 2 juillet 2005 à 23:07

Si tu l'oublies, mais que tu es bien l'administrateur, tu as normalement accès au fichier config.php sur le serveur.

Le fichier doit pouvoir rester éditable. Ainsi, tu peux fournir dans ta FAQ quelque chose de ce genre :
Si vous avez oublié votre mot de passe :
Editez le fichier config.php : supprimer la première ligne (en supposant que ce soit la ligne contenant le $pass) et remplacez par :

CODE

$pass = "098f6bcd4621d373cade4e832627b4f6";

Le mot de passe de l'administration sera alors "test".

(Bref, il te suffit de fournir un md5 dont on peut savoir le mot original.)

ps : le md5 de "test" est bien 098f6bcd4621d373cade4e832627b4f6 ^_^

Poppy

samedi 2 juillet 2005 à 23:16

Merci bcp, je vais y réflêchir cette nuit