Discussion :

[carlito]

Bonjour,

J'ai eu beau chercher sur le forum, je n'ai pas trouvé de réponse a mon pb.

J'utilise un script php qui me permet de renvoyer un utilisateur sur sa page privée apres s'etre authentifier via un formulaire.
Mon souci est que cette page peut tres bien être lancer directement si on connait son URL.
J'ai essayé de mettre un .htaccess dans le répertoire des pages, mais du coup apres l'authentification, l'utilisateur ne peut accéder a la page...

Comment puis je faire pour que cette page privée ne soit accessible uniquement que apres l'authentification/redirection?

Merci pour votre aide!

[MinDBuSteR]

Bonjour,

Tout tes scripts PHP seront toujours accessible si on connait l'URL ^^.

Pourquoi ne pas déjà mettre en place des sécurité sur ta page, vérification de l'envoie des variables en POST, et tout simplement si l'authentification se fait pas, la page renvoie une erreur ou une 404 ?

[Benjamin Delespierre]

Hello

Toutes tes pages privées/personnelles devraient être équipées du snippet suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<?php
require "auth.php"; // implémente les fonctions "is_logged" et "validate_rights"
 
// si l'utilisateur n'est pas loggué ou s'il ne dois pas avoir accès à ce script
if (!is_logged() || !validate_rights(__FILE__)) {
    header("HTTP/1.1 403 Forbidden");  // header "interdit"
    header("Refresh:5;url=login.php"); // redirection vers "login.php" dans 5 secondes
    include "forbidden.html";          // affichage de la vue "intedit, vous allez être redirigé bla bla bla..."
    die();
}
 
// suite du script ...

[carlito]

Bonjour,

Merci pour vos réponses.

Je comprends que je dois effectivement sécuriser mes pages.

J'ai en fait 2 soucis:
1) Comment faire pour implémenter mes 2 variables "is_logged" et "validate_rights" dans ma page d'authentification: login.php dont voici le code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
<?php
require_once("protec/passe/conf.php");
Error_Reporting(1);
@set_magic_quotes_runtime(0);
 
 
$db_link=connect_db();
 
 
//$pseudo = Get_GPC_addslashes($_POST['pseudo']);
//$passe = Get_GPC_addslashes($_POST['passe']);
if(eregi("#", $_POST['pseudo']) || eregi("#", $_POST['passe'])){ echo "<br><br><br><center>Les caractères spéciaux ne sont pas authorisés. Merci<br><br><a href=\"javascript:history.back(1)\">Retour</a>";exit; }
 
 
$query_requete = "select * from membre where pseudo=\"".Get_GPC_addslashes($_POST[pseudo])."\" and passe=\"".Get_GPC_addslashes($_POST[passe])."\"";
$requete = mysql_query($query_requete, $db_link) or die(mysql_error()."probleme");
$row = mysql_fetch_assoc($requete);
$totalRows = mysql_num_rows($requete);
 
 
if(mysql_num_rows($requete)==0)
        {
 
		header("Location:$url_erreur");exit;
        }
else
{
 
// test si compte actif
if($row["actif"]!=1){ echo "<center><br><br>STOP ! votre compte a besoin d'être validé avant que vous puissiez accéder à votre espace membre<br><br><a href=\"javascript:history.back(1)\">Retour</a></center>";exit; }
 
 
if(isset($_POST["modif_infos"]) && $_POST["modif_infos"]=="1"){ $destination="protec/modif_infos_util.php"; }else{ $destination=$row[destination]; }
 
        $taille = 40;
        $lettres = "abcdefghijklmnopqrstuvwxyz0123456789";
        srand((double)microtime()*1000000);
        for ($i=0;$i<$taille;$i++)
                {
                $lid.=substr($lettres,(rand()%(strlen($lettres))),1);
                }
 
        $requete=mysql_db_query($sql_bdd,"update membre set id=\"$lid\", heure_session= NOW() where pseudo=\"".Get_GPC_addslashes($_POST[pseudo])."\" and passe=\"".Get_GPC_addslashes($_POST[passe])."\"",$db_link);
         $expirer = 24*3600;
setcookie( "monpseudo", $_POST['pseudo'], time() + $expirer, "/" );
setcookie( "monpays", $row['pays'] , time() + $expirer, "/" );
setcookie( "monemail", $row['email'] , time() + $expirer, "/" );
 
// SESSIONS
 
if($row["droits"]==1 || $_POST["modif_infos"]==1)
{
	if($active_session=="1")
		{		
			session_start(); 
			$_SESSION["id"] = $lid;
			header("Location: $destination");
		} 
		else  
		{
		header("Location: $destination?id=$lid");
		}
}
else
{
	if($active_session=="1")
		{		
			session_start(); 
			$_SESSION["id"] = $lid;
			header("Location: $repertoire_protege/$destination");
		} 
		else  
		{
		header("Location: $repertoire_protege/$destination?id=$lid");
		}
}
}
 
close();
?>

2) Dans la page privée/personnelle j'ai rajouté le code suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<?php
require "auth.php"; // implémente les fonctions "is_logged" et "validate_rights"
 
// si l'utilisateur n'est pas loggué ou s'il ne dois pas avoir accès à ce script
if (!is_logged() || !validate_rights(__FILE__)) {
    header("HTTP/1.1 403 Forbidden");  // header "interdit"
    header("Refresh:5;url=login.php"); // redirection vers "login.php" dans 5 secondes
    include "forbidden.html";          // affichage de la vue "intedit, vous allez être redirigé bla bla bla..."
    die();
}

Que dois je mettre en place de (__FILE__) dans le code ci-dessus?

Merci encore pour votre aide!

[Benjamin Delespierre]

__FILE__ est une constante magique

[carlito]

Bonjour,

merci pour l'info, et je comprend a présent ce que signifie "__FILE__ ".

J'ai juste besoin que vous m'aidiez a implémenter correctement mes 2 fonction "is_logged" et "validate_rights" dans ma page d'authentification: login.php.

Merci encore pour votre aide! :-)

[Benjamin Delespierre]

le rôle de is_logged est de renvoyer true si l'utilisateur est connecté, false sinon.
le rôle de validate_rights est de déterminer si l'utilisateur connecté à le droit d'utiliser la ressource passée en paramètres (en l’occurrence, notre script). Si tu n'as pas de gestion de droits par ressource, tu peux supprimer cet appel.