Aller au contenu

récupérer le nom de l'un utilisateur htacces


sauzer

Sujets conseillés

Bonjour, je souhaiterais savoir comment faire pour récupérer le login et le mot de passe d'un utilisateur après qu'il se soit identifier par htaccess ?

Mon site est en php, existe-t-il une variable précise qui permet de récupérer les identifiants htaccess ?

Lien vers le commentaire
Partager sur d’autres sites

Salut sauzer, et bienvenue à bord du Hub !

Voici ce qui devrait te convenir ;)

<?php 
   echo "<p>Bonjour, {$_SERVER['PHP_AUTH_USER']}.</p>";    
   echo "<p>Votre mot de passe est {$_SERVER['PHP_AUTH_PW']}.</p>";  
?>

cordialement,

Dan

Lien vers le commentaire
Partager sur d’autres sites

C'est doublement génial parce que cela vient de me donner une idée pour éviter la double authentification que j'ai à l'heure actuelle sur les modules d'admin de mes sites...

1. Authentification par .htaccess

2. Récupération du login / mot de passe pour authentification par bdd

Merci Dan :P

Lien vers le commentaire
Partager sur d’autres sites

Salut Philippe,

En tant qu'admin tu devrais savoir une chose: sur le Hub, il n'y a qu'à demander ! :P

Par exemple, et sans vouloir faire un effet d'annonce, anonymus est occupé à nous concocter quelques petits outils comme un vérificateur d'entêtes http, un visualisateur lynx ... qui seront très bientôt mis gracieusement à disposition pour tous les membres.

On a quelques champions à bord, faut les faire bosser, non ? :whistling:

A+

Dan

Lien vers le commentaire
Partager sur d’autres sites

C'est ton nouveau surnom, Dan ?  :whistling::lol:

Non, un connaisseur qui a vu ma photo, c'est tout ! :D

Je pense plutôt que sauzer a du laisser de côté la suite de "beaucoup" , tant qu'il ne l'écrit pas en 2 mots ... - mdr

Dan

Lien vers le commentaire
Partager sur d’autres sites

En tant qu'admin tu devrais savoir une chose: sur le Hub, il n'y a qu'à demander ! :P

Je sais, mais là, en l'occurrence, ce truc m'a juste donné une idée.

Pour demander, il faut avoir la question avant la réponse.

Là j'ai eu la réponse avant la question... :D

Le vérificateur d'entêtes http et le visualiseur Lynx : que voilà des idées qu'elles sont bonnes :up:

De quoi faire une rubrique outils sympa !

Lien vers le commentaire
Partager sur d’autres sites

C'est vicieux quand même comme truc ..

Cela voudrait-il dire que le .htaccess n'est pas si secure que ca ?

Un script malicieux pourrait alors récupérer ses variables d'environnement à mauvais escient non ? Si oui, je vais peut être réfléchir à deux fois avant de protéger certains dossiers via ces files :P

Lien vers le commentaire
Partager sur d’autres sites

Siddartha,

Je ne vois pas où se trouve l'insécurité dans ce cas de figure. :?:

Si tu places un .htaccess pour restreindre les accès à tes pages, c'est que quelque part (dans un script ou une base de données) du stockeras les couples login/mot_de_passe pour valider ou non les accès.

Donc, tu connais ces login/mot_de_passe, non ?

Dans ce cas, qu'ils soient ou non stockés dans des variables serveur ne change rien... a mon avis. B)

Cariboo,

Tu devrais peut-être t'intéresser au module mod_auth_mysql, qui est un module d'authentification de type http-Basic. Il permet de gérer la base d'utilisateur dans une base de donnée MySQL

Dan

Lien vers le commentaire
Partager sur d’autres sites

Cela voudrait-il dire que le .htaccess n'est pas si secure que ca ?

C'est vicieux, mais c'est malheureusement vrai, la fenetre n'est pas si sûre que ça, et si l'on peut s'en passer, ce n'est pas si mal (à condition de faire les vérifications ailleurs).

Par exemple, et sans vouloir faire un effet d'annonce, ...

Cela aura au moins l'avantage de disposer d'outils en francais ;)

Si vous avez des idées d'outils, c'est peut etre le moment..

Anonymus.

Lien vers le commentaire
Partager sur d’autres sites

Dan,

Oui, effectivement tu les connais, mais le problème se situe entre l'authentification .htacces et la transmission à la base.

A ce moment, là les variables d'environnement sont plus que vulnérables (transite un peu en clair tout ca ;)) et du coup, il serait possible de les récupérer par une tierce personne mal intentionnée.

En prenant l'hypothèse qu'avant l'authentification .htacces et aprés la validation sql, les variables sont vides et vidées ensuites.

Donc c'est un gros bordel finalement .. :unsure:

Super projet Anonymous, on ne vérifiera jamais assez les headers HTTP :D

Pour la version Lynx, tu t'appuieras sur quelle numéro de version, la dernière ?

Idée : un vérificateur de liens d'une page (ou site) avec numéro d'etat ( 200 OK, 404 Not Found, 301 Moved Permanently, etc.) des headers HTTP ? :P

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...