Discussion :

[miroufle]

Bonsoir,
je suis en train de créer un site et depuis ce soir j'ai un petit problème. Lorsque je me connecte sur mon site, ensuite je voudrais qu'il reconnaise que je suis connecté donc j'ai mi :

<?php
session_start();
if(!isset($_SESSION['login'])) {
include ("login.html");
}
else {
echo "Bonjour <strong>$login</strong>";}
?>

Et il doit y avoir un problème...

En espérant avoir été assez clair.
Merci à tous !

[Yobs]

Quel erreur as-tu?

Je te conseille d'utiliser header('Location: tapage.php') pour rediriger l'utilisateur plutot que include().

Et utilise $_SESSION['login'] plutot que login dans ton echo.

[Swoög]

le problème est que tu as oublié la balise code

[miroufle]

Et ben en fait,
il faut être loggué pour poouvoir accéder à certaines pages,
donc avant chaque page "protégée" j'ai mis le script suivi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?
session_start();
if(!isset($_SESSION['login'])) {
  echo 'une phrase';
  include('login.html');
  exit;
}
?>

Et pour se connecter j'ai celui-ci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
<?
mysql_connect("****", "***", "***"); 
mysql_select_db("***"); 
 
if(isset($_POST) && !empty($_POST['login']) && !empty($_POST['pass'])) {
  extract($_POST);
  $sql = "select pwd from tbl_user where login='".$login."'";
  $req = mysql_query($sql) or die('Erreur SQL !<br>'.$sql.'<br>'.mysql_error());
 
  $data = mysql_fetch_assoc($req);
 
  if($data['pwd'] != $pass) {
    echo '<p>Mauvais nom d\'utilisateur / mot de passe. Merci de recommencer</p>';
    include('login.html'); 
    exit;
  }
  else {
    session_start();
    $_SESSION['login'] = $login;
    echo '<br><br><br>Vous êtes dès à présent connecté';
  }    
}
else {
  echo 'Vous avez oublié de remplir un champ.</p>';
   include('login.html');
   exit;
}
?>

J'espère que vous aurez compris

[Swoög]

!!!!

[Swoög]

tu sembles utiliser les globals_vars :
C'est PAS BIEN DU TOUT (failles de sécurité !)
tu utilises $_POST, $_SESSION, etc...
utilise-les tout le temps

[psychoBob]

tu sembles utiliser les globals_vars :
C'est PAS BIEN DU TOUT (failles de sécurité !)
tu utilises $_POST, $_SESSION, etc...
utilise-les tout le temps

Oui, sans vouloir troler le post, qu'appeles-tu une globals_vars et surtout qu'elle est cette faille de sécurité ?

**edit** Réponse de Swoög en même temps...

[Swoög]

Oui, sans vouloir troler le post, qu'appeles-tu une globals_vars et surtout qu'elle est cette faille de sécurité ?

expliqué plus haut
**Mort de Rire** on supprime nos cross-post ?

[miroufle]

désolé pour les balise c'est rajouté

ralalala , je n'ai jamais utilisé les globals_vars.
Mais bon mon niveau me fait défaut lol.

Mais en plus ce matin tout marchait correctement, j'ai faire quelque chose de pas bien

[Swoög]

les globals_vars, c'est une configuration qui fait que le contenu de $_POST, $_GET, etc... pase automatiquement dans l'espace des variables courantes ($_POST['champ'] accessible directement via $champ, etc...)

le problème est qu'il suffit alors de faire passer une variable en GET pour qu'elle soit injecter dans le code, c'est donc TRES risqué

il vaut mieux utiliser les tableaux super globaux ($_POST, $_GET, $_SESSION, etc...) et faire attention à toujours initialiser ses variables...

[psychoBob]

les globals_vars, c'est une configuration qui fait que le contenu de $_POST, $_GET, etc... pase automatiquement dans l'espace des variables courantes ($_POST['champ'] accessible directement via $champ, etc...)

le problème est qu'il suffit alors de faire passer une variable en GET pour qu'elle soit injecter dans le code, c'est donc TRES risqué

il vaut mieux utiliser les tableaux super globaux ($_POST, $_GET, $_SESSION, etc...) et faire attention à toujours initialiser ses variables...

Ceci dit, si tu filtres toutes les variables avec htmlspecialchars et surtout mysql_real_escape_string, il me semble que cela supprime les risques inhérents à une variable injectée sournoisement. Ai-je tort ? Ai-je raison ? Hum... seul l'avenir nous le dira.

[Swoög]

Ceci dit, si tu filtres toutes les variables avec htmlspecialchars et surtout mysql_real_escape_string, il me semble que cela supprime les risques inhérents à une variable injectée sournoisement. Ai-je tort ? Ai-je raison ? Hum... seul l'avenir nous le dira.

tort, tu parles ici d'injections SQL ou HTML...

alors qu'avec les globals vars, il s'agit carrément de modifier la valeur d'une variable qu'on crois être de session, de cookie, d'environnement, etc....

[miroufle]

Merci de votre aide,
le problème est résolu.

[psychoBob]

tort, tu parles ici d'injections SQL ou HTML...

alors qu'avec les globals vars, il s'agit carrément de modifier la valeur d'une variable qu'on crois être de session, de cookie, d'environnement, etc....

Oui mais bon, qu'est ce qu'il peut en faire le pirate, de sa variable avec une valeur modifiée ? Tant qu'il ne peut pas y glisser une requete sql ou un script php, puisqu'ils sont désactivés par les fonctions citées plus haut, ça va lui servir à quoi ?