[Sécurité] session peu sécurisé, besoin d'avis ! [Résolu]

winston44 · 19/09/2007, 00h29

bonjour à tous !

Je tiens a préciser, je suis pas un monstre de code et ce que je vais écrire va surement choquer certains codeurs

mais je me lance :

j'ai créé un site avec un systeme de session pour les membres isncrits qui focntionne comme ca :

page login :

-formulaire login et mot de passe

page vérification :

-je regarde le code enregistré dans ma base SQL (enregistré au format md5 dans celle ci) correspondant au login entrée précédement.
-je compare md5(mot_de_passe du formulaire) et le mot de passe de la base SQL.
-> si ils sont différents, retour a la case départ (ou page index plutot

)
->si ils sont pareils, j'ouvre 2 variables de session :
session[pseudo] (valeur = login du formulaire)
et session[valid] (valeur = "ok")

TOUTES les pages du site :

si ( session[valid] == "ok")
{
page a afficher
{
sinon
{
message erreur + lien vers index
}

Conclusion :

j'aimerai votre avis sur cette technique, elle fonctionne mais doit etre une véritable horreur niveau sécurité, seulement à mon niveau je ne sais pas trop où ni comment changer ca !
donc tous vos commentaires sont le bienvenue !

RideKick · 19/09/2007, 09h45

C'est ce que font la plupart des scripts d'acces membre !

Le mieux pour voir c'est de telecharger quelques scripts etr voir comment ils fonctionnent mais la plupart se base sur cette methode !

winston44 · 19/09/2007, 10h53

ok ! merci, jvais aller voir des codes de ce pas !

19/09/2007, 00h29	#1
winston44 Invité régulier Inscription : janvier 2006 Messages : 20 Détails du profil Informations forums : Inscription : janvier 2006 Messages : 20 Points : 5 Points : 5	[Sécurité] session peu sécurisé, besoin d'avis ! bonjour à tous ! Je tiens a préciser, je suis pas un monstre de code et ce que je vais écrire va surement choquer certains codeurs mais je me lance : j'ai créé un site avec un systeme de session pour les membres isncrits qui focntionne comme ca : page login : -formulaire login et mot de passe page vérification : -je regarde le code enregistré dans ma base SQL (enregistré au format md5 dans celle ci) correspondant au login entrée précédement. -je compare md5(mot_de_passe du formulaire) et le mot de passe de la base SQL. -> si ils sont différents, retour a la case départ (ou page index plutot ) ->si ils sont pareils, j'ouvre 2 variables de session : session[pseudo] (valeur = login du formulaire) et session[valid] (valeur = "ok") TOUTES les pages du site : si ( session[valid] == "ok") { page a afficher { sinon { message erreur + lien vers index } Conclusion : j'aimerai votre avis sur cette technique, elle fonctionne mais doit etre une véritable horreur niveau sécurité, seulement à mon niveau je ne sais pas trop où ni comment changer ca ! donc tous vos commentaires sont le bienvenue !
	00

19/09/2007, 09h45	#2
RideKick Rédacteur Directeur technique Inscription : septembre 2006 Messages : 5 959 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Directeur technique Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : septembre 2006 Messages : 5 959 Points : 10 889 Points : 10 889	C'est ce que font la plupart des scripts d'acces membre ! Le mieux pour voir c'est de telecharger quelques scripts etr voir comment ils fonctionnent mais la plupart se base sur cette methode ! __________________ Pas de questions techniques en MP please Mon site perso
	00

19/09/2007, 10h53	#3
winston44 Invité régulier Inscription : janvier 2006 Messages : 20 Détails du profil Informations forums : Inscription : janvier 2006 Messages : 20 Points : 5 Points : 5	ok ! merci, jvais aller voir des codes de ce pas !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email