Fonction sécurisée administration

[xps1616]

Bonjour,

Je souhaiterais faire une page administration depuis mon site. (un seul admin)

Est ce que le code suivant est inviolable ? :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
$mdp=htmlentities($_GET["mdp"])
 
if ($mdp=="mon mot de passe")
{
//j'affiche la console admin
else{
 
// je n'affiche rien
}

[manticore]

salut,
je pense que le htmlentities ne sert à rien, car si tu mets ton code en dur, tu ne vas pas avoir de problèmes de cross-script scripting.

Pour ce qui est d'inviolable, je ne vois pas de faille à proprement parler sur le test qui peut difficilement être contourner dans ton code.

Voici par contre les attaques auxquelles tu dois penser :

- Tu passes ton mot de passe par un paramêtre HTTP, ce qui fait que n'importe qui dans ton réseau local va pouvoir le récupérer avec un sniffeur.

- Tu dois gérer le bruteforce, donc un mot de passe long, et si possible limiter le nombre de requête par IP.

- Si tu as une faille include sur ton site ou que quelqu'un récupère tes sources, l'attaquant trouve directement le mot de passe.

Par contre c'est pas très pratique si tu as plusieurs admins ou que tu veux changer régulièrement ton mot de passe