Discussion :

[Invité]

Bonjour,

Je développe actuellement un cms et par conséquent un système de gestion d'utilisateur avec formulaire login/mot de passe (logique ).

J'utilise le même système pour gérer mon site web de présentation de ce cms.

Je me suis rendu compte aujourd'hui que quelqu'un avait eu accés à ma partie privé donc a soit contourner mon système de login, soit il a trouvé mon mot de passe.

Comment je gère mes utilisateurs:
Sur chaque page à accés restreint je fais un test pour vois si un utilisateur est loggué, si non il est redirigé sur la page de login.
Quand l'utilisateur submit le formulaire je cherche le username en base de données, si le mot de passe correspond avec l'utilisateur je mets en variable session le username et l'id de cet utilisateur.
Donc à chaque fois que l'utilisateur accède ensuite à une page je fais un check que le couple id/username existe bien en bdd, sinon retour à la case login.

Ma question est donc: selon vous est ce un bon système de login? Sinon je crois que je suis bon à changer de mot de passe .

Merci

[FirePrawn]

Bonjour,

Tu as vérifié dans ta base que ton mot de passe et/ou login n'avait pas changé ?
Ca pourrait venir d'une injection SQL.

[Invité]

Pas d'injection puisque je peux encore me loggué sur ma session.

De plus l'injection sql n'est normalement pas possible puisque je n'ai pas prévu de code php pour changer mon mot de passe.

[grunk]

Pas d'injection puisque je peux encore me loggué sur ma session.

De plus l'injection sql n'est normalement pas possible puisque je n'ai pas prévu de code php pour changer mon mot de passe.

Aucun rapport.

Il y'a risque d'injection à partir du moment où tu as communication avec la bdd et utilisation de variables modifiable par l'utilisateur. Donc un formulaire de login est par exemple sujet au injection.

Une injection ne consiste pas forcément en une modification de données , on peut l'utiliser pour outrepasser une identification sans pour autant changer les identifiants

[Invité]

C'est pas faux ^^

Mais normalement le fait d'utiliser pdo est censé bloquer les injections si je ne me trompe pas.

Pour clarifier la gestion username/password:
Mon mot de passe est un hash md5 de mon username + un salt + mon password.
Quand le formulaire est submit je récupère le user en fonction du username submité et ensuite je refais le hash en md5 et je le compare à celui récupéré depuis la bdd.

Donc normalement je ne vois pas où pourrait ce glissé une injection pour validé le formulaire. Sinon je veux bien qu'on m'explique comment

[grunk]

Mais normalement le fait d'utiliser pdo est censé bloquer les injections si je ne me trompe pas.

Si tu utilises des requêtes préparées , oui. Sinon ça protège rien du tout