burinho Posté 21 Mars 2005 Posté 21 Mars 2005 Bonjour, je pensais que si on utilisais un script pour ouvrir un session que avec un session_start le tour est joué, mais c'est pas le cas alors comment faire pour sécurisé un site.
Portekoi Posté 21 Mars 2005 Posté 21 Mars 2005 Salut, Faire un fichier contenant toutes les variables recptionnée en POST ou GET mais pas les 2 en même temps avec une fonction de TA création qui enlève les '\', les '"' ou les ' ' etc.... Bon Courage Portekoi
burinho Posté 21 Mars 2005 Auteur Posté 21 Mars 2005 en mettant le script de connexion sur toute les pages.
Portekoi Posté 21 Mars 2005 Posté 21 Mars 2005 Hum... rien à voir.... Ton fichier étant un '.php', les variables ne sont pas lisibles. ++
burinho Posté 21 Mars 2005 Auteur Posté 21 Mars 2005 si je pose la question, c'est simplement par ce que quand ton tape dans l'url l'adresse du compte, il y a un compte qui est visible,
Xenon_54 Posté 22 Mars 2005 Posté 22 Mars 2005 C'est parce que tu n'as pas fait tes devoirs : 1) Toujours vérifier ce qui transite dans l'URL. Ne pas le faire c'est ouvrir une porte. 2) Toujours vérifier que la personne accédant à la page est bien authentifier. Si tu ne le fais pas, à quoi ça sert alors de créer un système de session? Sincèrement, c'est pas très malin si tu dis que n'importe qui peut accéder directement à un compte si on tape son login dans l'URL...
burinho Posté 22 Mars 2005 Auteur Posté 22 Mars 2005 non pas en tapant le login dans l'url mais juste en appelant a page du compte
Portekoi Posté 22 Mars 2005 Posté 22 Mars 2005 (modifié) Salut, Plusieurs fois tu as posté et , je parle pour moi, plusieurs j'y ai répondu. Seulement, jamais merci ni rien. Maintenant, tu nous dis que tu as une faille sur tes comptes. On te donne deux trois tuyaux mais nan, c'est limite si tu nous engueule pas.... Donne nous ton lien, du code, quelque chose pour que l'on puisse t'aider sinon, on va pas y arriver! ++ Portekoi Modifié 22 Mars 2005 par portekoi
burinho Posté 22 Mars 2005 Auteur Posté 22 Mars 2005 Salut, Plusieurs fois tu as posté et , je parle pour moi, plusieurs j'y ai répondu. Seulement, jamais merci ni rien. Maintenant, tu nous dis que tu as une faille sur tes comptes. On te donne deux trois tuyaux mais nan, c'est limite si tu nous engueule pas.... Donne nous ton lien, du code, quelque chose pour que l'on puisse t'aider sinon, on va pas y arriver! ++ Portekoi <{POST_SNAPBACK}> Salut, tu as raison , tu m'as beacoup aider, et les autres aussi. je suis désolé, de t'avoir offenser ainsi comme ça mais ce n'était pas volontaire de ma part, car j'apprecie la compétence de ce forum. donc je vous dis merci a tous en espérant que cela ne soit pas trop tard.
Portekoi Posté 22 Mars 2005 Posté 22 Mars 2005 Salut, Trop tard pourquoi? J'ai simplement exprimé mon point de vue et c'est pas pour ca que je vais plus t'aider Donne nous du code, un lien quelque chose pour que l'on puisse t'aider. @+ Portekoi
burinho Posté 22 Mars 2005 Auteur Posté 22 Mars 2005 Salut, tu as raison , tu m'as beacoup aider, et les autres aussi. je suis désolé, de t'avoir offenser ainsi comme ça mais ce n'était pas volontaire de ma part, car j'apprecie la compétence de ce forum. donc je vous dis merci a tous en espérant que cela ne soit pas trop tard. <{POST_SNAPBACK}> merci de ta comprehension voilà le code de la page <?php session_start();include ("connect_sql.php");?> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"><html> <head> <title>compte</title> <meta http-equiv="content-type" content="text/html; charset=iso-8859-1"> <link rel="stylesheet" href="styles.css" type="text/css"> </head> <body> <?php include ("logo.html"); include ("entete.html"); include ("gauche.php"); include ("menu.php"); include ("page.html"); ?> <?php//recupération des donnée du membre $sql ="SELECT * FROM membres WHERE \"". $_SESSION['utilisateur'] . "\" = membres.utilisateur;"; if($result=mysql_query($sql)) { if ($donnees=mysql_fetch_array($result)) { ?> <div id="global"> <div id="page"> <form method="POST" action="modif.php"> <table> <tr> <td colspan="3" class="ligne2" align="center">Votre numéro de membre <td class="ligne2"><input type="text" name="id_membre" value="<?php echo $donnees['id_membre'];?>"size="5" maxlength="4"> </tr> <tr> <td class="ligne1">Nom </td> <td class="ligne1"> <input type="text" name="nom" value="<?php echo $donnees['nom'];?>" size= "20" maxlength="18"> </td> <td class="ligne1">Prénom </td> <td class="ligne1"> <input type="text" name="prenom" value="<?php echo $donnees['prenom'];?>"size="20" maxlength="18"> </td> <tr> <td class="ligne2">Adresse </td> <td class="ligne2"> <input type="text" name="adresse" value="<?php echo $donnees['adresse'];?>" size="20" maxlength="50"> </td> <td class="ligne2">Complément</td> <td class="ligne2"> <input type="text" name="complement" value="<?php echo $donnees['complement'];?>" size="20" maxlength="18"> </td> </tr> <td class="ligne1"> cp </td> <td class="ligne1"> <input type="text" name="cp" value="<?php echo $donnees['cp'];?>" size="5" maxlength="5"> </td> <td class="ligne1"> Ville</td> <td class="ligne1"> <input type="text" name="ville" value="<?php echo $donnees['ville'];?>" size="20" maxlength="18"> </td> </tr> <tr> <td class="ligne2">Téléphone</td> <td class="ligne2"> <input type="text" name="telephone" value="<?php echo $donnees['telephone'];?>" size="12" maxlength="10"> </td> <td class="ligne2">Portable</td> <td class="ligne2"> <input type="text" name="portable" value=" <?php echo $donnees['portable'];?>" " size="12" maxlength="10"> </td> </tr> <tr class="ligne1"> <td class="ligne1">mail</td> <td class="ligne1"> <input type="text" name="mail" value="<?php echo $donnees['mail'];?>" size="20" maxlength="18"> </td> <td class="ligne1">Fax</td> <td class="ligne1"> <input type="text" name="fax" value="<?php echo $donnees['fax'];?>" "size="12" maxlength="10"> </td> </tr> <tr> <td colspan="4" class="ligne1" align="center"> <input type="submit" value="Modifier"> <input type="reset" value="Annuler"></td> </tr> </table> <input type="hidden" NAME="modifier" VALUE="OUI"> </form> </div> </div> <?php } else { die ("erreur de connexion . mysql_error()"); }} else { die ("<div id='page'>erreur de requete</div>" . mysql_error()); }/* fermeture de la connexion */mysql_close(); // Déconnexion de MySQL ?> <?php include ("pied.php");?> </body> </html>
burinho Posté 22 Mars 2005 Auteur Posté 22 Mars 2005 je viens de trouver le probleme, un truc tout con, e tkje l'avais pas vu [code) j'avais pas mis if(isset($_SESSION['utilisateur'])){
vanquish Posté 22 Mars 2005 Posté 22 Mars 2005 Oui mais ça tout seul ça ne suffit pas à sécuriser, tu ne fais aucune vérification des pass et login ?
burinho Posté 23 Mars 2005 Auteur Posté 23 Mars 2005 si sur la page index je verifie lelogin et le mot de passe. il faut le mettre sur toute les page
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant