kyotoo

Ok d'accord avec vous. En ce qui concerne le champ mot de passe je ne peux le préremplir car il est chiffré, je suppose que c'est ce que tu veux dire par (Attention cependant aux pass cryptés)

Bonjour Sur une page membre que j'esquisse, chaque utilisateur peut mettre à jour ses infos : login mot de passe adresse mail texte de présentation etc Quelle est la méthode préconisée pour mettre à jour la bdd : - utiliser un bouton unique qui met à jour tous les champs (submit en bas de page) - utiliser un bouton pour chaque thème ? Merci

ok j'ai ajouté mysql_real_escape_string() Bien vu.

En effet, car elle est protegée au moment où je fais appel à la fonction : je passe les arguments après la moulinette suivante: function safe_input($input) { if (!get_magic_quotes_gpc()) { $input = addslashes($input); } $input = trim(htmlspecialchars($input)); return $input; } C'est un oubli dans le code du tutorial que je n'avais pas vu, merci Cette partie est mystique pour moi...

Merci pour les infos

Merci pour les précisions. En fait je me suis basé sur cet article : http://www.olate.co.uk/articles/185 Non seulement les mots de passe sont chiffrés, mais chiffrés de plus avec un "salt" En ce qui concerne l'identification et l'authentification elle se fait bien en 2 étapes : function user_login($username, $password) { // Try and get the salt from the database using the username $query = "select salt from user where username='$username' limit 1"; $result = mysql_query($query); if (mysql_num_rows($result) > 0) { // Get the user $user = mysql_fetch_array($result); // Using the salt, encrypt the given password to see if it // matches the one in the database $encrypted_pass = md5(md5($password).$user['salt']); // Try and get the user using the username & encrypted pass $query = "select userid, username from user where username='$username' and password='$encrypted_pass'"; $result = mysql_query($query); if (mysql_num_rows($result) > 0) { $user = mysql_fetch_array($result); // Now encrypt the data to be stored in the session $encrypted_id = md5($user['userid']); $encrypted_name = md5($user['username']); // Store the data in the session $_SESSION['userid'] = $userid; $_SESSION['username'] = $username; $_SESSION['encrypted_id'] = $encrypted_id; $_SESSION['encrypted_name'] = $encrypted_name; // Return ok code return 'Correct'; } else { return 'Invalid Password'; } } else { return 'Invalid Username'; } } Cependant, le fait de chiffrer les mots de passe n'empêche pas les tentatives de connexion, car dans le formulaire on saisit le mot de passe en clair. Celui-ci n'est chiffré que sur le serveur. En résumé il n'y a pas de méthode miracle, mais j'aimerais bien en savoir plus sur les clauses LIKE Si vous avez des liens ou infos...

Bonjour Est-il possible de faire exécuter un script php, de façon régulière, autrement qu'en ayant un accès local à la crontab du serveur ? Christophe

Pour ma part je bloque 24h, après 3 tentatives par IP, et ce quelque soit le login. Si c'est un utilisateur légitime, il a la possibilité de regénérer un mot de passe, ce qui a pour effet de débloquer son IP Pour regénérer un mot de passe il faut connaitre l'adresse email associée au compte qui a subi une tentative d'usurpation. Pas simple comme histoire

Vous avez raison, je vais donc bloquer l'exécution du script. Il suffisait d'y penser...

En effet ça change la donne, merci.

L'IP ne change pas si souvent (à part chez aol d'après mon expérience) et mon but est surtout d'éviter les scripts robotiques qui envoient des centaines de tentatives par minute. L'utilisateur "de base" va vite se fatiguer au bout d'une dizaine d'essais infructueux, surtout s'il doit changer d'IP à chaque multiple de 3 Quant à la désactivation du bouton je me suis posé la question. Je pourrais en effet afficher un message xyz.

A priori si le bouton submit est désactivé la requête POST ne peut pas être envoyée, à moins que l'utilisateur ne rafraichisse la page, auquel cas c'est la même combinaison login/pass qui est envoyée (et non une autre combinaison permettant de faire du brute force) Aurais-je été enduit d'erreur ?

Prérequis : - tes fichiers sont sur un serveur Unix/Linux - tu as un fichier toto.txt qui contient une référence par ligne - tu as un répertoire nommé "destination" Le script est le suivant : #!/bin/sh exec < $1 while read line do cp $line destination/$line done Appelle le "copie.sh", rends le exécutable et lance la commande ./copie.sh toto.txt N'oublie pas le . dans ./copie.sh

Bonjour Afin de protéger un formulaire de login, j'ai mis en place un système de blacklist IP : Au bout de 3 essais infructueux, l'adresse IP est bloquée (bouton submit désactivé) Est-ce une méthode efficace pour freiner les attaques par dictionnaire ? A part le captcha (j'en ai lu des vertes et des pas mûres sur le sujet), connaissez-vous d'autres méthodes ? Note : le formulaire de login est envoyé via la requête POST Christophe

Bonjour, Quel serait l'outil adapté pour que : - un visiteur accède à x revues techniques gratuitement (après inscription nom + adresse mail + validation) - un visiteur accède à l'ensemble des revues techniques après abonnement (paiement annuel ou trimestriel reconduit automatiquement) - un administrateur ajoute et mette à jour les revues - un administrateur gère les abonnés. - le tarif de l'abonnement tourne autour de 60 euros par an - les mises à jour de revues se font mensuellement Question annexe : existe t-il un moyen de protéger contre la copie ou diffusion des documents pdf (outre un mot de passe et une alerte juridique) ? Merci Christophe

Merci Mon Capitaine. En css ça fonctionne du tonerre. Voici ce que j'ai trouvé : http://www.dri.fr/outilsweb/exemple/infobulle2.html#

Bonjour, Avez-vous connaissance d'un tutoriel ou bout de code permettant d'inclure un formulaire dans un info bulle ? En l'occurence, le survol d'un lien "connexion" proposerait un info bulle avec "login" "mot de passe" et un bouton submit. Merci

Pas bête, je vais faire ça. Merci

Ok je suppose que ça revient au même avec les sessions : On récupère le nom de l'utilisateur (qui est unique), on regarde dans quel groupe il est inclus, on stocke le groupe dans la session et on le récupère à chaque fois que c'est nécessaire. Thanks

Je suis d'accord avec vous, l'admin dispose de scripts dédiés placés dans un répertoire dédié avec .htaccess + authentif php. Cependant ma question est la suivante : comment gérer différents droits au sein des membres ? Mettons que certains ont le droit de lire des news alors que d'autres ont le droit de lire des news + des articles.

Bonjour, Je développe un site (original n'est-ce pas) avec une zone membre. Je me suis inspiré de ces deux tutoriaux pour créer ladite zone : http://www.olate.co.uk/articles/185 http://www.olate.co.uk/articles/232 Le mot de passe est chiffré avec un "salt", ce que je cherchais depuis un moment. Cependant, si vous allez au bout du 1er article, vous verrez qu'une suite était attendue, suite qui n'est jamais venue (gestion de groupes avec différentes permissions) Après avoir réfléchi 2 minutes, voici mon idée : Ajouter un champ "group" dans la table "user" Ajouter un champ "group" dans le formulaire d'enregistrement Stocker le "group" associé à l'utilisateur dans la session modifier la fonction "is_authed()" pour qu'elle retourne le "group" auquel appartient l'utilisateur Qu'en pensez-vous ? Merci d'avance.

Salut, Moi c'est Christophe, 32 ans, de Versailles. Je bosse dans l'équipe Réseaux d'une boite avec une bande de jeunes J'ai monté un petit site en php / mysql et j'ai été plus que surpris par la quantité d'infos qu'on peut trouver sur le sujet, à tous les niveaux. J'en profite pour remercier les instigateurs de ce forum, ô combien riche en informations utiles. Bref, à tout de suite ! Christophe