Alors maintenant que la phase authentification est sécurisé un petit peu, je voudrais sécuriser l'enregistrement d'un user, et son mot de passe.
Alors comme mon code est un peu complexe et long. Je vais vous montrer le code complet et apres simplement le bout de code qui insère dans la BDD le login/mdp
Version complète formulaire:
On choisit ici de modifier un user, la page pour en ajouter un est pratiquement la même.
En gros, on donne un login,un mdp, une autorisation ou non de voir certaines catégorie de pages . Il ya quelques fonctions pour afficher les catégories de manière jolie.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240 <?php include("../../_modele/php/main.php"); # Sécurité... ($_ADMIN) or die("Accès interdit..."); // // Variables... // request_var('id', 0, 'I'); ////////////////////////////////////////////////// # do... include("do.php"); // Fichier de traitement des ajouts, suppr, modifs... if (!$id) die("Erreur identifiant..."); $retour_magasin = "../droits/modif.php?id=".$id; # Créer les tableaux pas défaut s'ils n'existent pas... if (!isset($cases_magasins)) $cases_magasins = array(); if (!isset($cases_sites)) $cases_sites = array(); if (!isset($cases_phoning)) $cases_phoning = array(); // Requête if (!$ERR) { // On a exécuté do.php... sql_mysql_query("SELECT * FROM administration WHERE id = $id"); if (!$nb) die("Erreur d'identifiant..."); $row = mysql_fetch_assoc($query); extract ($row); // extract en global... # Attributs... # Magasins... sql_mysql_query("SELECT id_magasin FROM administration_magasins WHERE id_administration = '$id'", 'conseillers_magasins'); while ($row = mysql_fetch_object($query_conseillers_magasins)) { $cases_magasins[] = $row->id_magasin; } # Sites... sql_mysql_query("SELECT id_site FROM administration_sites WHERE id_administration = '$id'", 'conseillers_sites'); while ($row = mysql_fetch_object($query_conseillers_sites)) { $cases_sites[] = $row->id_site; } } ?> <script type="text/javascript"> function afficher_magasin(id) { var X = 640; var Y = 480; var Left = (screen.width - X) / 2; var Top = (screen.height - Y) / 2; the_URL = "magasin.php?id=" + id + "&modif_conseiller=1"; var fen = window.open(the_URL,"tarif_fournisseur","toolbar=no,status=no,location=no,resizable=yes,scrollbars=yes,copyhistory=0,menubar=no,width=" + X + ",height=" + Y + ",left=" + Left + ",top=" + Top); fen.focus(); } function tout_cocher() { $(".coche").each(function() { this.checked = true; }); } function tout_decocher() { $(".coche").each(function() { this.checked = false; }); } function checkAllInput(form, action) { var i = document.forms[form].getElementsByTagName("input"); for ( var cpt = 0; cpt < i.length; cpt++) i[cpt].checked = (action)? true : false ; } </script> <form action="modif.php" method="post" name="form_modif" id="form_modif"> <table border="0" cellspacing="2" cellpadding="2" class="tableau"> <tr> <th class="entete" colspan="4">Modifier un conseiller</th> </tr> <?php if ($ERR) { ?> <tr> <th> </th> <td colspan="3" class="erreur">ERREUR : <?php echo $ERR ?></td> </tr> <?php } ?> <tr> <th> </th> <td colspan="3"> <input name="bt_retour1" type="button" class="bouton" id="bt_retour1" value="< Retour" onclick="javascript:self.location.href='index.php?id_modif=<?php echo $id ?>#a<?php echo $id ?>';" /> <input name="bt_valider1" type="submit" class="bouton" id="bt_valider1" value="Valider >"> </td> </tr> <tr> <th colspan="4">Informations</th> </tr> <tr> <th align="right" nowrap>ID</th> <td colspan="3"><b><?php echo $id; ?></b></td> </tr> <tr> <th align="right" nowrap>Nom</th> <td colspan="3"><input name="nom" type="text" id="nom" value="<?php echoif("nom"); ?>" size="50"></td> </tr> <tr> <th align="right" nowrap>Login</th> <td colspan="3"><input name="login" type="text" id="login" value="<?php echoif("login"); ?>" size="50"></td> </tr> <tr> <th align="right" nowrap> Nouveau Mot de passe</th> <td colspan="3"><input name="password" type="password" id="password" value="<?php ?>" size="50"></td> </tr> <tr> <th align="right" nowrap>Filtrage IP</th> <td colspan="3"><input name="filtre_ip" type="checkbox" id="filtre" <?php echocheckedbool('filtre_ip') ?> /></td> </tr> <tr> <th align="right" nowrap> </th> <td valign="top"> <table border="0" align="left" cellpadding="2" cellspacing="1" class="tableau"> <tr> <th> </th> <th>Magasins</th> <th> </th> </tr> <?php while ($row = mysql_fetch_object($query_magasins)) { ?> <tr> <td><input name="cases_magasins[]" type="checkbox" class="checkbox" id="cases_magasins<?php echo $row->id; ?>" value="<?php echo $row->id; ?>" <?php if (in_array($row->id, $cases_magasins)) echo "checked"; ?> /></td> <td><label for="cases_magasins<?php echo $row->id; ?>"><?php echo $row->nom; ?></label></td> <td><a href="javascript:afficher_magasin(<?php echo $row->id ?>);" title="Afficher le magasin"><img style="vertical-align: middle" border="0" alt="Afficher le magasin" src="../../_modele/images/fleche_droite.gif" /></a></td> </tr> <?php } ?> </table> </td> <td valign="top"> <table border="0" align="left" cellpadding="2" cellspacing="1" class="tableau"> <tr> <th> </th> <th>Sites</th> </tr> <?php while ($row = mysql_fetch_object($query_sites)) { ?> <tr> <td><input name="cases_sites[]" type="checkbox" class="checkbox" id="cases_sites<?php echo $row->id; ?>" value="<?php echo $row->id; ?>" <?php if (in_array($row->id, $cases_sites)) echo "checked"; ?> /></td> <td><label for="cases_sites<?php echo $row->id; ?>"><?php echo $row->nom; ?></label></td> </tr> <?php } ?> </table> </td> </tr> <table border="0" align="left" cellpadding="2" cellspacing="1" class="tableau"> <tr> <th align="center" nowrap>Catégories :</th> <td><input class="bouton" type="button" onclick="tout_cocher()" value="Tout cocher" /> <input class="bouton" type="button" onclick="tout_decocher()" value="Tout décocher" /></td> <?php $query = mysql_query ( "SELECT id_eap FROM `droits` WHERE `id` = '$id' "); while ($row = mysql_fetch_object($query)) { //echo $row->id_eap; echo '<br>'; $droit[$row->id_eap] = $row->id_eap; } $sql ="SELECT nom,page,id_eap FROM menu_eap WHERE menu = 1"; // selectionne les menus sql_mysql_query($sql,"test"); echo '<tr><td>'; echo '<ul id="menu_selection">'; while ($row1 = mysql_fetch_object($query_test)) { echo '<li>'; echo '<input type="checkbox" class="checkbox coche" name="menu[]" value="'.$row1->id_eap;echo '"'; if (in_array($row1->id_eap, $droit)) echo "checked"; echo '/>'.$row1->nom ; $sql ="SELECT nom,page,id_eap FROM menu_eap WHERE sous_menu = 1 and id_cat_pere='$row1->id_eap'"; //selectionne les ss menus du menu pere sql_mysql_query($sql,"test2"); while ($row2 = mysql_fetch_object($query_test2)) { echo '<ul>'; echo '<li>'; echo '<input type="checkbox" class="checkbox coche" name="menu[]" value='.$row2->id_eap.'/>'.$row2->nom; echo '</li>'; echo '</ul>' ; } echo '</li>'; } echo '</ul>'; ?> </table> </table> <table border="0" align="center" cellpadding="2" cellspacing="1" class="tableau"> <tr> <th> </th> <td colspan="3"> <input name="bt_retour2" type="button" class="bouton" id="bt_retour2" value="< Retour" onclick="javascript:self.location.href='index.php?id_modif=<?php echo $id ?>#a<?php echo $id ?>';" /> <input name="bt_valider2" type="submit" class="bouton" id="bt_valider2" value="Valider >"> <input name="modif" type="hidden" id="modif" value="<?php echo $id; ?>" /> </td> </tr> </table> </form> <?php modele_page ("../../_modele/html/modele_page.php"); ?>
Coté traitement du formulaire complet :
En version simplifié, j'enregistre le login et le mot de passe comme cela :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192 <?php // // Fichier de traitement des ajouts,modifs,suppressions... à inclure dans index.php // // // Requêtes Listes... // sql_mysql_query("SELECT * FROM sites ORDER BY nom", 'sites'); sql_mysql_query("SELECT * FROM magasins ORDER BY nom", 'magasins'); sql_mysql_query("SELECT * FROM phoning ORDER BY nom", 'phoning'); ////////////////////////////////////////////////// // // Suppression... // if (isset($_GET['suppr'])) { $id = (int)$_GET['suppr']; mysql_query("DELETE FROM administration WHERE id = '$id'"); mysql_query("DELETE FROM administration_magasins WHERE id_administration = '$id'"); mysql_query("DELETE FROM administration_sites WHERE id_administration = '$id'"); mysql_query("DELETE FROM conseillers_phoning WHERE id_conseiller = '$id'"); mysql_query("DELETE FROM droits WHERE id = '$id'"); } ////////////////////////////////////////////////// // // Add - Modif... // if (isset($_POST['add']) || isset($_POST['modif'])) { $ADD = isset($_POST['add']) ? true : false; $MODIF = isset($_POST['modif']) ? true : false; # EXTRACT en global... foreach ($_POST as $key => $val) { if (!is_array($val)) $$key = $GLOBALS[$key] = trim($val); else $$key = $GLOBALS[$key] = $val; } # Case à cocher... $filtre_ip = checkbox("filtre_ip"); # Fixer id pour le fichier suivant... if ($MODIF) $id = $modif; # Gestion des champs obligatoires... if ($nom=="") { $ERR = "Il faut au moins un NOM !!!"; return; } if ($nom == "") { $ERR = "Il faut au moins un NOM !!!".$nom.$login.$password.$filtre_ip; return; } /** * on vérifie que le login n'est pas déjà utilisé */ sql_mysql_query("SELECT id FROM administration WHERE login = '".$login."' AND id != $id"); if ($nb) { $ERR = "Le LOGIN est déjà utilisé par un autre conseiller !!!"; return; } /** * vérification de la longueur du mot de passe */ if (strlen($password) < 6) { $ERR = "Le mot de passe doit faire au moins 6 caractères !!!"; return; } # Variables contrôle requêtes... if ($ADD) { $INSERT_UPDATE = "INSERT"; $WHERE = ""; } if ($MODIF) { $INSERT_UPDATE = "UPDATE"; $WHERE = "WHERE id = '$id'"; } $password = mysql_escape_string(md5($password)); $login = mysql_escape_string($login); $SQL = "$INSERT_UPDATE administration SET nom = '$nom', login = '$login', password = '$password', filtre_ip = '$filtre_ip' $WHERE "; mysql_query ($SQL); if ($ADD) $id = mysql_insert_id(); if (isset($menu) and ($ADD)) { foreach ($menu as $k=>$v) { $SQL = "INSERT droits SET id = '$id', id_eap = '$v' "; mysql_query ($SQL); }} if (isset($menu) and ($MODIF)) { mysql_query("DELETE FROM droits WHERE id = '$id'"); foreach ($menu as $k=>$v) { $SQL = "INSERT droits SET id = '$id', id_eap = '$v' "; mysql_query ($SQL); }} ////////////////////////////////////////////////// // // Magasins et sites... // # Créer les tableaux pas défaut s'ils n'existent pas... if (!isset($cases_magasins)) $cases_magasins = array(); if (!isset($cases_sites)) $cases_sites = array(); if (!isset($cases_phoning)) $cases_phoning = array(); # Supprimer TOUS les attributs avant de recréer la liste... mysql_query("DELETE FROM administration_magasins WHERE id_administration = '$id'"); mysql_query("DELETE FROM administration_sites WHERE id_administration = '$id'"); mysql_query("DELETE FROM administration_phoning WHERE id_administration = '$id'"); # Remplir les tables du magasins et du site... foreach ($cases_magasins as $k=>$v) mysql_query("INSERT administration_magasins SET id_administration = '$id', id_magasin = '$v'"); foreach ($cases_sites as $k=>$v) mysql_query("INSERT administration_sites SET id_administration = '$id', id_site = '$v'"); /** * génération des fichiers .htpasswd et .htaccess */ $query = mysql_query("SELECT login, password FROM conseillers"); while ($row = mysql_fetch_object($query)) { if ($row->login && $row->password) { $tab_htpasswd[] = $row->login.':'.crypt($row->password); $tab_htaccess[] = "require user ".$row->login; } } # Magasins file_put_contents('../../../eap_conseillers/.htpasswd', implode("\r\n", $tab_htpasswd)); $contenu_htaccess = "AuthUserFile ".$_SERVER["DOCUMENT_ROOT"]."/eap_conseillers/.htpasswd\r\n". "AuthGroupFile /dev/null\r\n". "AuthName \"Accès restreint\"\r\n". "AuthType Basic\r\n\r\n"; file_put_contents('../../../eap_conseillers/.htaccess', $contenu_htaccess.implode("\r\n", $tab_htaccess)); # Sites file_put_contents('../../../eap_sites/.htpasswd', implode("\r\n", $tab_htpasswd)); $contenu_htaccess = "AuthUserFile ".$_SERVER["DOCUMENT_ROOT"]."/eap_sites/.htpasswd\r\n". "AuthGroupFile /dev/null\r\n". "AuthName \"Accès restreint\"\r\n". "AuthType Basic\r\n\r\n"; file_put_contents('../../../eap_sites/.htaccess', $contenu_htaccess.implode("\r\n", $tab_htaccess)); # Phoning file_put_contents('../../../eap_phoning/.htpasswd', implode("\r\n", $tab_htpasswd)); $contenu_htaccess = "AuthUserFile ".$_SERVER["DOCUMENT_ROOT"]."/eap_phoning/.htpasswd\r\n". "AuthGroupFile /dev/null\r\n". "AuthName \"Accès restreint\"\r\n". "AuthType Basic\r\n\r\n"; file_put_contents('../../../eap_phoning/.htaccess', $contenu_htaccess.implode("\r\n", $tab_htaccess)); # Redirect... $Navig->redirect("index.php?id_modif=$id#a$id"); } // if POST add ou modif... ?>
Voilà, c'est suffisamment sécurisé?
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11 $password = mysql_escape_string(md5($password)); $login = mysql_escape_string($login); $SQL = "$INSERT_UPDATE administration SET nom = '$nom', login = '$login', password = '$password', filtre_ip = '$filtre_ip' $WHERE "; mysql_query ($SQL);
PS: pour le moment j'ai laissé le système d'écriture dans le ht access, il est voué à être remplacé par mon système authentification .
Voilà, des conseils généraux sur la sécurité de ce genre de choses me suffiront.
Merciii
Partager