voila, j'ai fait ça pour mon stage...
 
http://membres.lycos.fr/stagefrancois
 
et je voulais savoir si c'était bien sécurisé...
ou si il y a un moyen d'y rentrer... :-(

 
Ya toujours un moyen (faille de php etc...), mais on peut dire qu'une autentification avec PHP est relativement sûre.

Index of /stagefrancois/menuAdministration
Parent Directory  
ajout_enregistrement.php  
consultation_table.php  
deconnexion_adm.php  
gerer_catalogue.php  
gerer_famille.php  
gerer_type.php  
identification_adm.php  
menu_administration.php  
verification_ident.php  
 
protège ca aussi
 
sinon à part recupérer les $ transmisent par ta session PHPSESSID" value="0e59e06923cda9ca44a3b4be87847c70"
(je pense que ca doit etre possible avec un peu de chance..)
je trouve ca pas mal.
 
si tu l'as fais C bien sinon n'oubli pas de tester si l'adresse IP du visiteur est la même dans chaques pages

et comment on fait pour proteger les fichiers? parce que sinon, aprés, je ne peux plus y acceder à partir des autres pages.....
 
euh  
 
"sinon à part recupérer les $ transmisent par ta session PHPSESSID" value="0e59e06923cda9ca44a3b4be87847c70"  
(je pense que ca doit etre possible avec un peu de chance..)  
je trouve ca pas mal."  
tu as réussi à voir mes pages à l'interieur?
ou comment tu sais ça?
 
euh l'ip non, j'ai pas encore vérifié.. :-)
 

 
Tu veux pas savoir si on peut acceder facilement aux tables j'espere ... Pasque si c'est ca, la 1ere chose c'est quand meme de mettre un mot de passe un chouia plus compliqué

 
t'as mon mot de passe? (si oui en message privé ... )

 
C'est bien d'avoir changé de MdP ... la première base de la sécurité, c'est quand meme de pas mettre un mot de passe à 2 balles
 

 
je voulais juste savoir, comment tu fait pour transmettre l'ip d'une page a l'autre ? par la bdd ??

 
héhéhé... c cûr que c pas terrible ça.
 
Le mieux c'est de tester le referer pour être sûr que la page n'est pas appelée directement

Ouais, ben çà c'est pas évident a faire.
Certains clients change d'ip à chaque requête.
J'ai vu le cas sur un site que j'ai fais ou je voulais vérifier que l'ip ne changeait pas pour un même id de session. Ben je suis tombé sur des clients venant de la SNCF ou d'autre grosses bôite. Ils ont plusieurs routeurs chez eux pour l'accès internet, et faut croire qu'ils se partagent le travail. J'ai été obligé de laisser tomber !

L'adresse ip, c'est le client qui te l'envoie !
Il suffit de la stocker en session la première fois et de vérifier ensuite que c'est bien la même.
Mais comme je viens de le dire, ben y'a des clients pour qui ont peut pas le faire. A toi de voir.

Le referer n'est pas une info fiable.
Certain client ne l'envoient pas, et c'est trop facile à falcifier.

 
ah oui les sessions j'y est pas pensé    
 
mais en fait si il y a des gens qui change d'ip, et ceux qui envoient pas le referer, faut faire comment ?

 
Ben t'est obligé de faire confiance aux id de sessions.
 
Tout dépend du niveau de sécurité demandé.
 
Si c'est sensible, il faut passer pas https, mais c'est très gourmand en CPU.

 
ya comme une méprise je crois. Je ne parle pas du referer (du site ou de ce qu'il veut) renvoyé par le client. On s'en fout complêtement de ce qui est renvoyé exactement par le client. Si la page n'a pas été appelée PAR LE SERVEUR, on décide que la page n'a pas à s'afficher.
 
PS : c'est d'ailleurs une des recommandations dans la doc de PHP. j'invente rien.

Hermes, tu peux donner plus d'info stp? j'ai du mal à te suivre là

Ben ya rien à suivre, c très simple : Si le HTTPreferer ne renvoie pas http://www.tonsite_qui_est_sur_ton [...] la_requête , ben tu dis : STOP.  

Si le serveur se cause à lui tout seul, c'est sûr qu'il n'y a pas de pb    
 
Le referer, c'est l'info disponible dans la variable $_SERVER['HTTP_REFERER']
Cette variable EST ENVOYEE PAR LE CLIENT. Elle est cencée contenir l'url de page d'ou vient le client.
http://www.php.net/manual/en/reserved.variables.php
 

 
Si tu parles d'un autre referer, je m'incline, mais j'aimerai bien savoir qui c'est.
 

 
Non non, je parle bien du même referer. Mais si le client peut 'truquer' le référer en refusant par exemple de renvoyer celui-ci, c'est une chose. Mais truquer le referer pour lui demander de renvoyer EXACTEMENT la page d'où doit provenir la requête en est une autre.
 
Je ne dis pas que c'est un moyen infalsifiable, mais ça en arrête déjà plus d'un.
 
PS : De plus, masquer le referer est un choix délibéré de la part d'un internaute. C'est donc déjà limite comme attitude, surtout quand on parle d'autentification pour une page sécurisée. Je dis ça, pour pas qu'on puisse dire que cela handicaperait tel ou tel user.
 
PS2 : ça fait partie des recommandations de la doc de PHP (j'arrive plus à trouver où exactement, ça m'énerve...) Ils recommandent même de faire ça sur toutes les pages... (un peu abusé je trouve).
 
En ce qui me concerne, j'utilise les sessions.

C'est improbable, donc c'est suffisant    
 
Sinon, pour la vérif par adresse ip du client, y'a un truc à essayer avec gethostbyaddr($_SERVER['REMOTE_ADDR']);
 
Les clients qui ont plusieurs adresses ip ont peut-être quand même le même nom.
J'ai pas pu utiliser çà. Le firewall de la DMZ interdit au serveur web de faire des requêtes vers l'extérieur !

C'est pas forcément louche, le referer n'est pas renvoyé pas tous les navigateurs !

 
Il est DESACTIVABLE sur certains navigateurs, nuance    (cf : Opera par exemple).

hum ça me dit pas si les sessions php sont fiables?
 
et si on peut réussir à rentrer dans mon espace sécurisé...  
 
http://membres.lycos.fr/stagefrancois

Pouvoir rentrer dedans ne veux pas dire qu'il n'est pas fiable et que ce n'est pas sécurisé..
 
Qst: Est ce que les serveurs du FBI sont fiables et bien sécurisées? (je pense que oui...) pourtant les peines encourues en cas d'intrusion sont lourdes...
 
Donc si on peux s'introduire la bas, imagine dans ton serveur à 2 francs 50 !!
 
Les sessions php sont biens si tu ne marques pas ton n° de carte bleue avec son code sur chaque une des pages..
 
 
 
PS: sinon...  
session_start
if($ip != $REMOTE_ADDR)
{exit();echo"casse toi";}

J'm'en fout, le "casse toi" y s'affichera jamais

Vu kom je l'ai écrit C clair ...