[Cookies] Sécurisation de la connexion [Résolu]

[dark_vidor]

slt
je repost ici ce que j'ai mis sur ce topic : http://www.developpez.net/forums/sho...d.php?t=195857 (peut etre a delete ...)

Citation:

Envoyé par Yogui

Au lieu de faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION['variable'] = 'truc';

Tu fais une requête INSERT INTO ou UPDATE.

Tu vois l'idée ?
http://www.developpez.net/forums/sho...d.php?t=181802 (5ème post)

non

Je suis dans le meme cas, je souhaite developper mon petit forum perso pour mon site, un petit truc tout simple, pas une grosse usine à gaz pleine de faille comme phpbb (pour ne citer que le plus conu)

si j'ai bien compris et suivis les cookies ne sont pas d'une sécurité absolu (parce que modifiable dans le cache du pc, c'est vrai que c'est facile j'ai déjà regardé a quoi ça ressemblais ^^) mais nécessaire si l'on veux un auto log, ou log permanant...

alors j'aimerais savoir comment lier les cookies, les session et la base de données ? concretement

merci par avance

[thanaos]

Regarde là. Ca peut être intéressant.
Guide de Sécurité PHP

[dark_vidor]

J'en suis arriver a me dire qu'il faut utiliser les fonctions suivantes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
function pseudoCorrect($pseudo){
    $pseudo_valide = ereg('^[[:alnum:][:space:]_-]{4,32}$',$pseudo);
    /*
    addslashes() //Ajoute des anti-slash dans une chaîne => $string = addslashes($string);
    htmlspecialchars() //Convertit les caractères spéciaux en entités HTML => $string = htmlspecialchars($string);
    strip_tags() //Supprime les balises HTML et PHP d'une chaîne => $string = strip_tags($string);
    trim() //Supprime les espaces => $string = trim($string);
    htmlentities() //Convertit tous les caractères éligibles en entités HTML => $string = htmlentities($string); f° inverse html_entity_decode()
    ereg('^[[:alnum:][:space:]_-]{4,32}$',$string); //Vérifie si la chaîne est alphanumérique + espace + '_' + '-' et la longeur {4,32}
    */

mais dans quel ordre ?

[zyongh]

Quand j'ai codé mon propre forum, à l'inscription je demande le login, le password, le nom, le prénom, et l'email. Après vérification (failles PHP, injections SQL, attaques XSS), je sauvegarde le tout dans une table mysql. Evidemment je ne l'appelle pas login au auth ou autre de ce genre. Je lui donne un nom tout autre.

Ensuite je crée tout un sytème de cryptage (perso) en ce qui concerne le password. Je ne peux l'expliquer ici pour raison de sécurité de mon forum.

Quand la personne, se connecte pour participer au forum, je crée un cookie sur son PC. Cependant les infos dans le cookie son cryptées aussi bien pour le login, le prénom et le nom. Et avant de créer le cookie, je vérifie dans la table si login et le password existent et s'ils sont valides. Je vérifie aussi la requete SQL (injections) et ce qui a été saisit dans les champs (failles XSS).

Et quoi que fasse le connecté, c'est inséré dans une autre table où je récupère son login, l'heure et la date de la manipulation et la manipulation effectuée.

Voilà. J'espère que cela pourra t'aider.

PS: Pour des extraits de codes contacte moi par message privé