[php] admin - securité

admin - securité [php] - PHP - Programmation

Marsh Posté le 29-02-2004 à 11:42:17    

voila je developpe un site en php pour le moment et jessaie que se soit au maximum sécurisé
 
pour linstant jai simplement un page index.php avec un parametre ?page= qui indique le no de la page auquel on veut acceder
 
le prob c pour la page admin ... je met ca dans un fichier php different ? pour acceder a cette page je met un lien sur le site ou je demande a la personne qui va utiliser le site de taper ladresse pour y acceder ?
 
 jvoudrais savoir comment ca se passe en general au niveau de la section admin dun site (stockage du mot de passe,....)

Reply

Marsh Posté le 29-02-2004 à 11:42:17   

Reply

Marsh Posté le 29-02-2004 à 17:33:38    

tu crées un répertoire admin à la racine du server, et là dedans tu peux réutiliser le même système de gestion des pages.
 
En ce qui concerne les mots de passe, ils sont souvent gérés grâce à l'utilisation de fichiers .htacess et .htpasswd

Reply

Marsh Posté le 29-02-2004 à 18:11:46    

et si lutilisateur essaie un truc du style :
 
www.website.fr/admin il aura une boite de dialogue avec le mot de passe c ca ?
 
sinon jpensait a une protection php moi genre le mot de passe en md5 dans la bd + test

Reply

Marsh Posté le 01-03-2004 à 00:06:53    

formulaire d'authentification sur une page, si le mot de passe et le login (recupérés dans la bdd) sont valides, tu enregistre une variable de session "login" contenant une information (un login ou tout simplement le mot "admin" ) indiquant que le visiteur est bien authentifié, et à chaque debut d'une page reservée aux admins, tu verifie si la variable "login" contient ce qu'il faut, si oui tu affiche la page d'admin, sinon tu renvoie au formulaire d'authentification.

Reply

Marsh Posté le 01-03-2004 à 09:04:51    

Mais alors, avant d'utiliser la méthode de aspegic500mg, vérifie les paramètres PHP de ton hébergeur pour voir si la directive register_globals est à Off ou, à défaut (utilises-le dans tout les cas même) n'accèdes pas à la variable de session 'login' en faisant $login, mais plutôt $_SESSION['login']. Car sinon, il suffirait de faire tapage.php?login=admin pour que la variable $login ait la valeur 'admin' et si aucune variable de session n'écrase cette valeur, le gars accède à la partie admin.
Perso, je préfèrerais une table dans ta base de données associant chaque SID au login avec, si tu le souhaites, une date de péremption et pourquoi pas l'ip du client.
PS: cherche sur le forum, il doit y avoir des topics expliquant plusieurs manières d'arriver à tes fins

Reply

Marsh Posté le 01-03-2004 à 09:10:25    

variable de session c comme une variable globale ?????????
 
 
ca se declare comment en php?
edit : avait pas vu tentacle


Message édité par red faction le 01-03-2004 à 09:10:56
Reply

Marsh Posté le 01-03-2004 à 09:17:19    

ici la doc PHP sur les sessions http://fr.php.net/manual/fr/ref.session.php
et voici la fonction session_register qui permet d'enregister une variable de session : http://www.nexen.net/docs/php/anno [...] gister.php
Il est d'ailleurs apparement plutôt conseillé de faire $_SESSION['tavariable'] = 'valeur'

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed