Discussion :

[choupinou22]

bonjour,

j'ai finaliser mon acces membre mais j'ai un soucis de securite qui se presente.
j'ai ma page qui a une input login, mot de passe et confirmet mot de passe.quand l'utilisateur rentre son mot de passe et le confirme ,pas de soucis cela est bien update dans la table.
mon soucis est le suivant si un utilisateur rentre le nom de la personne ,et rempli un nouveau password et le confirme, cela s'update également dans la table.y'a t'il une solution pour interdire l'ecriture dans la table si le champ est rempli?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
if($password==$password2){
	if($_POST['PASSWORD']==""){	
		 $password= sha1($password);
		 require_once("../connexionMysql.inc.php");					
		 $login=$_POST['login'];					
                 $sql5=$pdo->prepare("UPDATE logins SET PASSWORD =:password where LOGIN=:login  " ) or die (print_r($pdo->errorinfo())) ;
                 $sql5->execute(array(
			':login'=>$login,
			':password'=>$password
		)) ;	
		 header("Location:login.php")	;
	} else echo "le password est déja renseigné!";
}else echo "Les mots de passe ne sont pas identiques!" ;

[choupinou22]

j'ai trouve la solution en faisant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql5=$pdo->prepare("UPDATE logins SET PASSWORD =:password where LOGIN=:login and PASSWORD='' " ) or die (print_r($pdo->errorinfo())) ;

[sabotage]

Cela reviendrait au même : ton utilisateur pourrait changer le mot de passe de tous les enregistrements qui n'ont pas de mot de passe.
La bonne solution et de fournir à l'utilisateur un token (code aléatoire) qui est associé à son compte dans la base de donnée.
En général on fournit simplement un lien avec le token en paramètre : motdepasse.php?token=dfjdskljlkjxw524
Pour changer le mot de passe il faut donc connaitre le couple login/token (et evidemment on efface le token une fois l'UPDATE effectué).

[choupinou22]

merci pour cette information,aurrais tu un exemple concret pour voir a quoi cela ressemble?

merci

[sabotage]

Ce n'est rien de plus que ce que je t'ai décris : dans ta base de données tu inscris un code et tu le fournis à l'utilisateur.
Dans la page de changement du mot de passe, tu vérifies que le token que l'utilisateur donne (en général en paramètre dans le lien comme indiqué au dessus) correspond à celui inscris dans la base de donnée.

[Bovino]

Si c'est juste pour changer de mot de passe, en général, on se contente de demander l'ancien mot de passe puis le nouveau et la confirmation du nouveau, du coup, tu fais juste l'update du mot de passe de l'utilisateur ayant l'ancien mot de passe en lui affectant la nouvelle valeur.

Ce que propose sabotage, c'est si l'utilisateur a perdu son mot de passe.

[sabotage]

Apparemment il n'y pas de mot de passe sur certains comptes, donc ca revient à un mot de passe perdu.
Tu peux aussi attribuer un mot de passe a tous les comptes n'en ayant pas et l'envoyer à chaque utilisateur correspondant.

[Bovino]

T'as raison, je pense que c'est moi qui suis trop obtus : j'avais conceptuellement du mal à envisager qu'on puisse accéder à son espace membre sans mot de passe.

[rawsrc]

j'avais conceptuellement du mal à envisager qu'on puisse accéder à son espace membre sans mot de passe.

T'es trop tatillon, fais attention hein !!

[sabotage]

En fait on ne peut visiblement pas puisque que quand $_POST['password'] n'est pas renseigné, le mot de passe est remplacé par un autre ... bon l'extrait du code est peu obscure à ce niveau