Discussion :

[xavioche77]

Alors maintenant que la phase authentification est sécurisé un petit peu, je voudrais sécuriser l'enregistrement d'un user, et son mot de passe.
Alors comme mon code est un peu complexe et long. Je vais vous montrer le code complet et apres simplement le bout de code qui insère dans la BDD le login/mdp

Version complète formulaire:

On choisit ici de modifier un user, la page pour en ajouter un est pratiquement la même.
En gros, on donne un login,un mdp, une autorisation ou non de voir certaines catégorie de pages . Il ya quelques fonctions pour afficher les catégories de manière jolie.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
 
<?php
include("../../_modele/php/main.php");
 
# Sécurité...
($_ADMIN) or die("Accès interdit...");
 
 
//
// Variables...
//
request_var('id', 0, 'I');
//////////////////////////////////////////////////
 
# do...
include("do.php");      // Fichier de traitement des ajouts, suppr, modifs...
 
if (!$id) die("Erreur identifiant...");
$retour_magasin = "../droits/modif.php?id=".$id;
 
# Créer les tableaux pas défaut s'ils n'existent pas...
if (!isset($cases_magasins))    $cases_magasins = array();
if (!isset($cases_sites))       $cases_sites = array();
if (!isset($cases_phoning))     $cases_phoning = array();
 
// Requête
if (!$ERR) {    // On a exécuté do.php...
    sql_mysql_query("SELECT * FROM administration WHERE id = $id");
    if (!$nb) die("Erreur d'identifiant...");
    $row = mysql_fetch_assoc($query);
    extract ($row);     // extract en global...
 
 
 
    # Attributs...
   # Magasins...
   sql_mysql_query("SELECT id_magasin FROM administration_magasins WHERE id_administration = '$id'", 'conseillers_magasins');
    while ($row = mysql_fetch_object($query_conseillers_magasins)) {
                $cases_magasins[] = $row->id_magasin;
    }
    # Sites...
   sql_mysql_query("SELECT id_site FROM administration_sites WHERE id_administration = '$id'", 'conseillers_sites');
    while ($row = mysql_fetch_object($query_conseillers_sites)) {
                $cases_sites[] = $row->id_site;
    }
}
 
 
?>
 
<script type="text/javascript">
    function afficher_magasin(id) {
        var X = 640;
        var Y = 480;
        var Left = (screen.width  - X) / 2;
        var Top  = (screen.height - Y) / 2;
        the_URL = "magasin.php?id=" + id + "&modif_conseiller=1";
        var fen = window.open(the_URL,"tarif_fournisseur","toolbar=no,status=no,location=no,resizable=yes,scrollbars=yes,copyhistory=0,menubar=no,width=" + X + ",height=" + Y + ",left=" + Left + ",top=" + Top);
        fen.focus();
    }
 
 
    function tout_cocher() {
        $(".coche").each(function() {
            this.checked = true;
        });
    }
 
    function tout_decocher() {
        $(".coche").each(function() {
            this.checked = false;
        });
    }
 
 
function checkAllInput(form, action)
{
   var i = document.forms[form].getElementsByTagName("input");
    for ( var cpt = 0; cpt < i.length; cpt++)
                              i[cpt].checked = (action)? true : false ;
}
 
 
</script>
 
<form action="modif.php" method="post" name="form_modif" id="form_modif">
    <table border="0" cellspacing="2" cellpadding="2" class="tableau">
        <tr>
            <th class="entete" colspan="4">Modifier un conseiller</th>
        </tr>
        <?php if ($ERR) { ?>
        <tr>
            <th>&nbsp;</th>
            <td colspan="3" class="erreur">ERREUR : <?php echo $ERR ?></td>
        </tr>
            <?php } ?>
        <tr>
            <th>&nbsp;</th>
            <td colspan="3">
                <input name="bt_retour1" type="button" class="bouton" id="bt_retour1" value="&lt; Retour" onclick="javascript:self.location.href='index.php?id_modif=<?php echo $id ?>#a<?php echo $id ?>';" />
                <input name="bt_valider1" type="submit" class="bouton" id="bt_valider1" value="Valider &gt;">
            </td>
        </tr>
        <tr>
            <th colspan="4">Informations</th>
        </tr>
        <tr>
            <th align="right" nowrap>ID</th>
            <td colspan="3"><b><?php echo $id; ?></b></td>
        </tr>
        <tr>
            <th align="right" nowrap>Nom</th>
            <td colspan="3"><input name="nom" type="text" id="nom" value="<?php echoif("nom"); ?>" size="50"></td>
        </tr>
        <tr>
            <th align="right" nowrap>Login</th>
            <td colspan="3"><input name="login" type="text" id="login" value="<?php echoif("login"); ?>" size="50"></td>
        </tr>
        <tr>
            <th align="right" nowrap> Nouveau Mot de passe</th>
            <td colspan="3"><input name="password" type="password" id="password" value="<?php  ?>" size="50"></td>
        </tr>
        <tr>
            <th align="right" nowrap>Filtrage IP</th>
            <td colspan="3"><input name="filtre_ip" type="checkbox" id="filtre" <?php echocheckedbool('filtre_ip') ?> /></td>
        </tr>
 
        <tr>
            <th align="right" nowrap>&nbsp;</th>
                <td valign="top">
                        <table border="0" align="left" cellpadding="2" cellspacing="1" class="tableau">
                                <tr>
                                <th>&nbsp;</th>
                                <th>Magasins</th>
                                <th>&nbsp;</th>
                                </tr>
                                <?php while ($row = mysql_fetch_object($query_magasins)) { ?>
                                <tr>
                                <td><input name="cases_magasins[]" type="checkbox" class="checkbox" id="cases_magasins<?php echo $row->id; ?>" value="<?php echo $row->id; ?>" <?php if (in_array($row->id, $cases_magasins)) echo "checked"; ?> /></td>
                                <td><label for="cases_magasins<?php echo $row->id; ?>"><?php echo $row->nom; ?></label></td>
                                <td><a href="javascript:afficher_magasin(<?php echo $row->id ?>);" title="Afficher le magasin"><img style="vertical-align: middle" border="0" alt="Afficher le magasin" src="../../_modele/images/fleche_droite.gif" /></a></td>
                                </tr>
                                <?php } ?>
                        </table>
            </td>
            <td valign="top">
                        <table border="0" align="left" cellpadding="2" cellspacing="1" class="tableau">
                                <tr>
                                <th>&nbsp;</th>
                                <th>Sites</th>
                                </tr>
                                <?php while ($row = mysql_fetch_object($query_sites)) { ?>
                                <tr>
                                <td><input name="cases_sites[]" type="checkbox" class="checkbox" id="cases_sites<?php echo $row->id; ?>" value="<?php echo $row->id; ?>" <?php if (in_array($row->id, $cases_sites)) echo "checked"; ?> /></td>
                                <td><label for="cases_sites<?php echo $row->id; ?>"><?php echo $row->nom; ?></label></td>
                                </tr>
                                <?php } ?>
                </table>       
            </td>
        </tr>
 
 
 
 
        <table border="0" align="left" cellpadding="2" cellspacing="1" class="tableau">
<tr>
        <th align="center" nowrap>Catégories :</th>
                           <td><input class="bouton" type="button" onclick="tout_cocher()" value="Tout cocher" /> <input class="bouton" type="button" onclick="tout_decocher()" value="Tout décocher" /></td>
 
        <?php
 
 
        $query = mysql_query ( "SELECT id_eap
FROM `droits`
WHERE `id` = '$id'
                        ");
 
 
 
 
        while ($row = mysql_fetch_object($query)) {
 
        //echo $row->id_eap; echo '<br>';
        $droit[$row->id_eap] = $row->id_eap;
 
        }
 
 
                                $sql ="SELECT nom,page,id_eap FROM menu_eap WHERE menu = 1"; // selectionne les menus
   sql_mysql_query($sql,"test");
 
 
  echo '<tr><td>';
echo '<ul id="menu_selection">';
 
while ($row1 = mysql_fetch_object($query_test)) {      
 
 
                echo '<li>';
                echo '<input type="checkbox" class="checkbox coche" name="menu[]" value="'.$row1->id_eap;echo '"'; if (in_array($row1->id_eap, $droit)) echo "checked"; echo '/>'.$row1->nom  ;
 
 
                        $sql ="SELECT nom,page,id_eap FROM menu_eap WHERE sous_menu = 1 and id_cat_pere='$row1->id_eap'"; //selectionne les ss menus du menu pere
                        sql_mysql_query($sql,"test2");
                        while ($row2 = mysql_fetch_object($query_test2)) {
                        echo '<ul>';
                        echo '<li>';
                        echo '<input type="checkbox" class="checkbox coche" name="menu[]" value='.$row2->id_eap.'/>'.$row2->nom;
                        echo '</li>';
                echo '</ul>' ;
 
}
                echo '</li>';
 
        }
 echo '</ul>';
 
 
 
                ?>     
 
                        </table>
 
                        </table>
 
 
        <table border="0" align="center" cellpadding="2" cellspacing="1" class="tableau">
        <tr>
            <th>&nbsp;</th>
            <td colspan="3">
 
                <input name="bt_retour2" type="button" class="bouton" id="bt_retour2" value="&lt; Retour" onclick="javascript:self.location.href='index.php?id_modif=<?php echo $id ?>#a<?php echo $id ?>';" />
                <input name="bt_valider2" type="submit" class="bouton" id="bt_valider2" value="Valider &gt;">
                <input name="modif" type="hidden" id="modif" value="<?php echo $id; ?>" />
         </td>
        </tr>
  </table>
 
        </form>
<?php modele_page ("../../_modele/html/modele_page.php"); ?>

Coté traitement du formulaire complet :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
 
<?php
//
// Fichier de traitement des ajouts,modifs,suppressions... à inclure dans index.php
//
 
 
//
// Requêtes Listes...
//
sql_mysql_query("SELECT * FROM sites ORDER BY nom", 'sites');
sql_mysql_query("SELECT * FROM magasins ORDER BY nom", 'magasins');
sql_mysql_query("SELECT * FROM phoning ORDER BY nom", 'phoning');
//////////////////////////////////////////////////
 
 
//
// Suppression...
//
if (isset($_GET['suppr'])) {
    $id = (int)$_GET['suppr'];
    mysql_query("DELETE FROM administration WHERE id = '$id'");
    mysql_query("DELETE FROM administration_magasins    WHERE id_administration = '$id'");
    mysql_query("DELETE FROM administration_sites       WHERE id_administration = '$id'");
    mysql_query("DELETE FROM conseillers_phoning        WHERE id_conseiller = '$id'");
        mysql_query("DELETE FROM droits WHERE id = '$id'");
}
//////////////////////////////////////////////////
 
 
//
// Add - Modif...
//
if (isset($_POST['add']) || isset($_POST['modif'])) {
    $ADD        = isset($_POST['add'])   ? true : false;
    $MODIF      = isset($_POST['modif']) ? true : false;
 
    # EXTRACT en global...
   foreach ($_POST as $key => $val) {
                if (!is_array($val)) $$key = $GLOBALS[$key] = trim($val);
                else $$key = $GLOBALS[$key] = $val;
    }
 
    # Case à cocher...
   $filtre_ip = checkbox("filtre_ip");
 
    # Fixer id pour le fichier suivant...
    if ($MODIF) $id = $modif;
 
    # Gestion des champs obligatoires...
   if ($nom=="") {
                $ERR = "Il faut au moins un NOM !!!";
                return;
    }
 
         if ($nom == "") {
                $ERR = "Il faut au moins un NOM !!!".$nom.$login.$password.$filtre_ip;
                return;
    }
 
 
       /**
     * on vérifie que le login n'est pas déjà utilisé
     */
    sql_mysql_query("SELECT id FROM administration WHERE login = '".$login."' AND id != $id");
    if ($nb) {
                $ERR = "Le LOGIN est déjà utilisé par un autre conseiller !!!";
                return;
    }
 
    /**
     * vérification de la longueur du mot de passe
     */
    if (strlen($password) < 6) {
                $ERR = "Le mot de passe doit faire au moins 6 caractères !!!";
                return;
    }
 
    # Variables contrôle requêtes...
   if ($ADD) {
                $INSERT_UPDATE  = "INSERT";
                $WHERE                  = "";
 
 
    }
 
 
    if ($MODIF) {
                $INSERT_UPDATE  = "UPDATE";
                $WHERE                  = "WHERE id = '$id'";
 
    }
 
        $password = mysql_escape_string(md5($password));
    $login = mysql_escape_string($login);
 
      $SQL = "$INSERT_UPDATE    administration
                        SET     nom             = '$nom',
                                login           = '$login',
                                password        = '$password',
                                filtre_ip       = '$filtre_ip'
           $WHERE
            ";
    mysql_query ($SQL);
 
if ($ADD) $id = mysql_insert_id();
 
                        if (isset($menu) and ($ADD)) {
                foreach ($menu as $k=>$v) {
        $SQL = "INSERT  droits
                        SET    
                                id              = '$id',
                                id_eap  = '$v'                                     
            ";
    mysql_query ($SQL);
        }}
 
                if (isset($menu) and ($MODIF)) {
                 mysql_query("DELETE FROM droits        WHERE id = '$id'");
                foreach ($menu as $k=>$v) {
        $SQL = "INSERT  droits
                        SET    
                                id              = '$id',
                                id_eap  = '$v'
                               
           
            ";
    mysql_query ($SQL);
        }}
 
 
    //////////////////////////////////////////////////
 
    //
    // Magasins et sites...
    //
    # Créer les tableaux pas défaut s'ils n'existent pas...
   if (!isset($cases_magasins))    $cases_magasins = array();
    if (!isset($cases_sites))       $cases_sites = array();
    if (!isset($cases_phoning))     $cases_phoning = array();
 
       # Supprimer TOUS les attributs avant de recréer la liste...
    mysql_query("DELETE FROM administration_magasins    WHERE id_administration = '$id'");
    mysql_query("DELETE FROM administration_sites       WHERE id_administration = '$id'");
    mysql_query("DELETE FROM administration_phoning     WHERE id_administration = '$id'");
 
    # Remplir les tables du magasins et du site...
    foreach ($cases_magasins as $k=>$v) mysql_query("INSERT administration_magasins SET id_administration = '$id', id_magasin = '$v'");
    foreach ($cases_sites as $k=>$v)    mysql_query("INSERT administration_sites    SET id_administration = '$id', id_site = '$v'");
 
 
    /**
     * génération des fichiers .htpasswd et .htaccess
     */
    $query = mysql_query("SELECT login, password FROM conseillers");
    while ($row = mysql_fetch_object($query)) {
                if ($row->login && $row->password) {
                        $tab_htpasswd[] = $row->login.':'.crypt($row->password);
                        $tab_htaccess[] = "require user ".$row->login;
                }
    }
    # Magasins
   file_put_contents('../../../eap_conseillers/.htpasswd', implode("\r\n", $tab_htpasswd));
 
    $contenu_htaccess = "AuthUserFile ".$_SERVER["DOCUMENT_ROOT"]."/eap_conseillers/.htpasswd\r\n".
            "AuthGroupFile /dev/null\r\n".
            "AuthName \"Accès restreint\"\r\n".
            "AuthType Basic\r\n\r\n";
    file_put_contents('../../../eap_conseillers/.htaccess', $contenu_htaccess.implode("\r\n", $tab_htaccess));
 
    # Sites
   file_put_contents('../../../eap_sites/.htpasswd', implode("\r\n", $tab_htpasswd));
 
    $contenu_htaccess = "AuthUserFile ".$_SERVER["DOCUMENT_ROOT"]."/eap_sites/.htpasswd\r\n".
            "AuthGroupFile /dev/null\r\n".
            "AuthName \"Accès restreint\"\r\n".
            "AuthType Basic\r\n\r\n";
    file_put_contents('../../../eap_sites/.htaccess', $contenu_htaccess.implode("\r\n", $tab_htaccess));
 
    # Phoning
   file_put_contents('../../../eap_phoning/.htpasswd', implode("\r\n", $tab_htpasswd));
 
    $contenu_htaccess = "AuthUserFile ".$_SERVER["DOCUMENT_ROOT"]."/eap_phoning/.htpasswd\r\n".
            "AuthGroupFile /dev/null\r\n".
            "AuthName \"Accès restreint\"\r\n".
            "AuthType Basic\r\n\r\n";
    file_put_contents('../../../eap_phoning/.htaccess', $contenu_htaccess.implode("\r\n", $tab_htaccess));
 
    # Redirect...
   $Navig->redirect("index.php?id_modif=$id#a$id");
}       // if POST add ou modif...
?>

En version simplifié, j'enregistre le login et le mot de passe comme cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 $password = mysql_escape_string(md5($password));
    $login = mysql_escape_string($login);
 
      $SQL = "$INSERT_UPDATE    administration
                        SET     nom             = '$nom',
                                login           = '$login',
                                password        = '$password',
                                filtre_ip       = '$filtre_ip'
           $WHERE
            ";
    mysql_query ($SQL);

Voilà, c'est suffisamment sécurisé?


PS: pour le moment j'ai laissé le système d'écriture dans le ht access, il est voué à être remplacé par mon système authentification .

Voilà, des conseils généraux sur la sécurité de ce genre de choses me suffiront.

Merciii

[beejeridou]

Je crois que mysql_escape_string() est dépréciée. Il faut la remplacer par mysql_real_escape_string()

[xavioche77]

corrigé

[gene69]

l'utilisation d'étoile dans le sql de ta page est contrindiqué, ainsi que l’extension mysql_*

bon maintenant que se passe t'il si un visiteur falsifie l'url dans laquelle tu as mis l'$id (c'est à dire la variable I )?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
request_var('id', 0, 'I');
if (!$id) die("Erreur identifiant...");
$retour_magasin = "../droits/modif.php?id=".$id;

[xavioche77]

il peut faire ca ?

[Cobalt59]

Salut xavioche77,

Si tu veux sécuriser un peu plus ton script, tu pourrais rajouter un jeton (token) à ton utilisateur.
Le principe : à l'authentification de l'utilisateur tu lui attribues un jeton par une fonction type hashage de l'id de l'utilisateur + de la date courante.
A chaque fois que l'utilisateur voudra faire une action, il lui faudra fournir ce jeton.
Bien évidemment tout cela doit se passer sans que celui-ci s'en rende compte.

[gene69]

oui.

si ton lien c'est http://google.fr?q=toto tu fais clics droit, copier l'url, tu ouvres un onglet et tu remplaces le toto par un tata. si c'est http://monsite.fr?action=delete&article=134 c'est pareil.

si c'est un formulaire, un pirate pourra éditer le html localement (fx: firebug, web dev, pour y modifier les variables, le nom, leur valeur, et s'il est vraiment motivé il peut bypasser n'importe quel systeme de validation de formulaire en javascript...

ça me rappelle les yeux émerveillé d'un dev web devant lequel j'ai en trois clic modifier un <input type="password" /> en <input type="text" /> ...

à toi.

[xavioche77]

ok je prend note de tout ca.
Je vais chercher dans ce sens là.
Merci