Aller au contenu

Partie administration

Poppy

Par Poppy
dans PHP

 Partager

Sujets conseillés

Poppy

Poppy

Posté
Posté

Yep :)

Je voulais intégrer une partie admin a mon script d'annuaire que je suis en train de finaliser :hypocrite:

Je voulais qq chose de très simple :whistling:

Genre si, je fais un formulaire avec login et mdp. Si les données saisies sont exactes, ça roule sinon, il bloque :P

Ca suffit ? Y a t il des problemes de sécurité ? :unsure:

Merci d'avance ^_^

WewEB

WewEB

Posté
Posté (modifié)

Bah... sans code on ne peut pas vraiment te conseiller...

Il peut y avoir des problèmes de sécurité graves dans un script très simple, comme il peut ne pas y en avoir dans quelque chose de complexe...

L'identification par un couple login/mot de passe, si ce couple est unique et stocké dans des variables "en dur" (et non dans une base mysql) parait effectivement moins risqué.

Modifié par WewEB
Poppy

Poppy

Posté
  • Auteur
Posté

Genre, je stocke ces 2 variables dans config.php, par exmple

$login = 'toto'; $pass = 'titi';

Et pour mon formulaire,

si $_POST['login'] = $login et $_POST['pass'] = $pass

Un truc simple, ça suffit ?

Xtouch

Xtouch

Posté
Posté

Proposer l'authentification en .htaccess pourrait être une bonne idée également.

Il ne faut pas que ce soit le seul moyen proposé, mais c'est une bonne solution.

Pour moi faire une condition avec un if ($pass == $_POST[pass] AND $login == $_POST[login]) ne pose pas vraiment de problème de sécurité.

Néanmoins, je te conseillerais de stocker le mot de passe en md5 dans ton fichier config.php. Cela permet que si une personne externe récupère ce fichier pour une raison x ou y, il ne puisse récupérer le mot de passe.

Ainsi la condition deviendrait : if ($pass == $_POST[pass] AND $login == md5($_POST[login]))

Néanmoins, cela oblige à proposer un formulaire de modification du mot de passe dans l'administration pour pouvoir coder le mot de passe en md5 avant de le stocker dans le fichier config.php.

Poppy

Poppy

Posté
  • Auteur
Posté
Proposer l'authentification en .htaccess pourrait être une bonne idée également.

Il ne faut pas que ce soit le seul moyen proposé, mais c'est une bonne solution.

Pour moi faire une condition avec un if ($pass == $_POST[pass] AND $login == $_POST[login]) ne pose pas vraiment de problème de sécurité.

Néanmoins, je te conseillerais de stocker le mot de passe en md5 dans ton fichier config.php. Cela permet que si une personne externe récupère ce fichier pour une raison x ou y, il ne puisse récupérer le mot de passe.

Ainsi la condition deviendrait : if ($pass == $_POST[pass] AND $login == md5($_POST[login]))

Néanmoins, cela oblige à proposer un formulaire de modification du mot de passe dans l'administration pour pouvoir coder le mot de passe en md5 avant de le stocker dans le fichier config.php.

<{POST_SNAPBACK}>

Tout d'abord, merci d'avoir répondu :)

Ensuite, le md5 a l'air d'être une bonne solution. Mais si une fois l'avoir sotcker en md5 dans mon config.php, je l'oublie. Comment je peux le modifier si je l'ai plus accès à la partie admin ? :unsure:

Xtouch

Xtouch

Posté
Posté

Si tu l'oublies, mais que tu es bien l'administrateur, tu as normalement accès au fichier config.php sur le serveur.

Le fichier doit pouvoir rester éditable. Ainsi, tu peux fournir dans ta FAQ quelque chose de ce genre :

Si vous avez oublié votre mot de passe :

Editez le fichier config.php : supprimer la première ligne (en supposant que ce soit la ligne contenant le $pass) et remplacez par : 

$pass = "098f6bcd4621d373cade4e832627b4f6";

Le mot de passe de l'administration sera alors "test".

(Bref, il te suffit de fournir un md5 dont on peut savoir le mot original.)

ps : le md5 de "test" est bien 098f6bcd4621d373cade4e832627b4f6 ^_^

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...