Discussion :

[Ptitepalou]

Bonjour à tous,

Sur mon site il y a une rubrique espace sécurisé, qui permet à des personnes de se connecter et d'envoyer des fichiers.
Jusque là tout fonctionnait bien, mais aujourd'hui une personne ne peut plus se connecter à son compte, un message d'erreur apparaissant : "Veuillez verifier vos identifiants et mots de passe."
J'ai alors vérifié dans la base mysql les id et mdp à entrer pour ce compte et pour se connecter ; en utilisant ces données la connexion ne fonctionne toujours pas


page de connexion :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
<?php  require_once("remove_by_date.php");  
 
$error = $_GET['error'];
$project_name = $_GET['project_name'];
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 
 
<html xmlns="http://www.w3.org/1999/xhtml"> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
 
<title>Interface de partage de fichiers</title> 
 
<link href="css/meyer.css" rel="stylesheet" type="text/css" /> 
<link href="css/style.css" rel="stylesheet" type="text/css" /> 
 
</head> 
 
<body> 
	<div id="header"> 
		<img src="logo.png" width="200" alt="logo Fenwick" title="Accueil">
	</div> 
 
<div id="content">
<?php if (! empty($error)){
	//selon les valeurs de erreur
	if ($error == 1) {echo '<p class="alerte">Veuillez verifier vos identifiants et mots de passe.</p>';}
	else if ($error == 2) {echo '<p class="alerte">Veuillez vous identifier.</p>';}
	}
?>
<form action="login.php" method="post">
<table>
<tr><td colspan="2"><h1>Bienvenue sur l'espace securisé</h1></td></tr>
<tr><td colspan="2">Veuillez saisir votre login et votre mot de passe.</td></tr>
<tr><td>Login :</td><td><input name="project_name" id="project_name" type="text" size="20" /></td></tr>
<tr><td>Mot de passe :</td><td><input name="pass" id="pass" type="password" size="20" /></td></tr>
<tr><td colspan="2" align="center"><input name="submit" type="submit" value="OK" /></td></tr>
</table>
 
</form>
 
<?php 
require_once("footer.php");
?>

page login :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
<?php 
include ("connexion/connexion.php"); 
 
 
//reception des variables
$id_user = $_POST['id_user'];
$project_name = $_POST['project_name'];
$pass = $_POST['pass'];
 
 
 
$query ="SELECT *
FROM `user` 
WHERE project_name = '$project_name' 
AND pass = '".md5($pass)."' ";
 
$result = mysql_query($query);
 
$nb = mysql_num_rows($result);
 
//test
if($nb==1){
                //reussite -> redirection
                // recup des reponses
                $line=mysql_fetch_array($result);
 
                //cr�ation de la session
                session_start();
                $_SESSION['project_name']= 'ok';
                $_SESSION['id']= $line['id_user'];
                $_SESSION['droit']= $line['droit'];
 
                header("location: accueil.php");
        }else{
                //echec -> ecriture du log et reirection
                header("location: index.php?error=1&project_name=$project_name");
        }
 
?>

Je ne sais pas d'où peut venir le problème, j'entre bien le "project_name" puis le pass, il n'y a a priori pas de problèmes de code, alors peut-être manque-t-il quelque chose ?



-----


Problème résolu (j'aimerais bien supprimer ce topic qui du coup est presque inutile ^^ mais je ne trouve pas la fonction supprimer!)
Donc j'ai finalement changé le mot de passe (les syntaxes de requete que je trouvais sur Internet ne fonctionnaient pas, j'ai été dans Afficher/Modifier (crayon) sur le user cible, et la connexion fonctionne à nouveau.

Juste ce qui est bizarre, c'est que j'ai beau remettre l'ancien mot de passe crypté en MD5, la connexion ne fonctionne pas avec celui là. Problème résolu mais origine du problème inconnue ..!

[ericd69]

salut,

attention, tes scripts ne sont pas sécurisé car tu ne protèges pas les variables que tu utilises dans ton code sql contre les injections sql

tu ne dois jamais utiliser une variable php directement dans une requête sql...
de plus md5 peut de nos jours être facilement collisionné pour trouver un mdp qui permettra de se connecter (même si c'est pas celui d'origine)...

vaut mieux utiliser sha1 ou mieux sha2... bref je te conseille de revoir la sécurité de ton espace sécurisé...

[SQLpro]

De toutes façon un MD5 ou un SHA... ne sont pas des outils de cryptage, mais de masquage et à ce titre peuvent être cassé en quelques secondes par des attaques massives de type DOS.

Un vrai cryptage consiste à utiliser des algorithmes comme DES, AES, RC..., RSA.

Mais cela n'existe nativement que dans des SGBDR comme Oracle ou MS SQL Server....
Raison pour laquelle MySQL est recalé dans les audits de sécurité concernant les logiciels de santé ou du monde bancaire....

A +

[Ptitepalou]

Bonjour,

Merci de vos réponses.
En effet c'est ce qu'on m'a annoncé sur un autre forum ! Je n'ai pas créé les codes et je suis encore débutante dans le php/mysql, donc merci de vos remarques
Je reviendrai vers vous dès que je me pencherai sur ce problème