Discussion :

[laurentSc]

Bonjour,
je teste la valeur de mot de passe fournie, et si elle est correcte, je souhaite rediriger pour que l'utilisateur puisse passer à l'étape suivante :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
if ($_POST['mdp_actu']=="mdp_correct"){
       header('Location: '.'\PasDePanique\controller\Admin\Actu_disp_admin.php');

donne

Cette page n'existe pas

Comment faut-il faire SVP ?

Ne sachant pas, j'ai pratiquement copié le code du routeur : 'actu-admin' => \PasDePanique\controller\Admin\Actu_disp_admin::class, mais il faut visiblement faire autrement...

[Toufik83]

Bonjour,

Si tu es en MVC, il faudrait utiliser seulement le contrôleur (et la méthode si elle est obligatoire) correspondant à la page que tu veux afficher, à mon avis header('Location: actu-admin'); devrait afficher la bonne page.

[cavo789]

J'espère que tu ne fais pas comme tu l'as affiché dans ton exemple. Tu reçois donc un mot de passe (en clair) et tu le compares avec une chaîne.

Logiquement le mot de passe que, toi, tu connais est hashé et certainement pas en clair (ce qui t'exposerais à des failles importantes de sécurité).

Il y a quelques années j'ai joué à écrire un petit code (https://php-password.avonture.be/) pour ce type d'usage. Jamais utilisé par moi-même mais ce soir-là je m'ennuyais visiblement 😏.

[laurentSc]

Logiquement le mot de passe que, toi, tu connais est hashé et certainement pas en clair (ce qui t'exposerais à des failles importantes de sécurité).

Certes, je pourrais hasher le mot de passe, mais comme c'est un fichier d'extension php, il est non lisible, donc quel est le risque ?

[cavo789]

C'est pas "je pourrais" mais "je dois". Tu ne peux pas connaître le mot de passe tout comme tu devrais donner la possibilité de le changer. De ce que je lis, tu le connais donc et ton utilisateur ne peut pas le changer.

Toute autre approche est mauvaise.

Pour ton interprétation qu'un fichier php est sécurisé c'est faux : si ton hébergeur se plante au niveau de sa configuration, les fichiers php pourraient être affichés et non exécutés. Tu n'as pas certitude absolue que ce ne sera pas le cas.

Tu peux aussi utiliser une écriture htaccess pour indiquer que l'extension php doit être traitée par, p.e., php8.3 et cette version pourrait ne pas être disponible ce qui ferait que ton script serait comme un fichier txt.

Pour illustrer ce que j'écris ci-dessus voici un exemple non testé (vite cherché sur Google) : AddHandler application/x-httpd-php81 .php

Associe les fichiers php à php 8.1... qui pourrait ne pas être dispo ou l'instruction n'est pas valide, ce qui provoque l'affichage du code et non son exécution.

[laurentSc]

Parfait

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 if ($_POST['mdp_actu']=="mdp.correct"){
       header('Location:actu-admin');
   }
    else {
        header('Location:404');
    }

[cavo789]

Et si on accède en direct à la page actu-admin tu as bien un contrôle de sécurité ?

[laurentSc]

Et si on accède en direct à la page actu-admin tu as bien un contrôle de sécurité ?

A vrai dire, je ne me suis pas préoccupé de ce cas, donc j'ai ajouté cela :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

if (isset($_POST['mdp']) && ($_POST['mdp']=="mdp.correct")) { etc

mais visiblement, il n'existe pas...

[cavo789]

A vrai dire, je ne me suis pas préoccupé de ce cas, donc j'ai ajouté cela :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

if (isset($_POST['mdp']) && ($_POST['mdp']=="mdp.correct")) { etc

mais visiblement, il n'existe pas...

Ouch... Protection à minima donc. Et terriblement aisée à contourner.