[Sécurité] gestion erreur login mdp

**oceane751** · 31/10/2005, 18h04

bonjour à tous
voilà jaimerais gerer les erreurs de login et de mot de passe
en effet, quand un utilisateur se connecte sur mon site il entre son login et son mot de^passe
et je voudrais que lorsqu'il rentre un mauvais mpd il y est comme message "mauvais mot de passe", quand il entre un mauvais login il y est comme erreur "mauvais login ou vous n'êtes pas inscrit sur le site " et quand l'administrateur se logue et que son login + mot de passe est mauvais il y est comme message d'erreur "vous n'avez pas le statut d'administrateur.
j'ai dejà mon bout de code mais quand une personne se logue et que le login et / ou mot de passe est mauvais, tous ces messages s'affiche
voici le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
 
 
$base = mysql_connect ("localhost", "root", "pouet");
 
 
if ( !empty($_POST['pseudo']) and !empty($_POST['mdp']) )
 
{
 
$pseudo = $_POST['pseudo'];
$mdp = $_POST['mdp'];
mysql_select_db("bdoye", $base);
$Req_login="SELECT pseudo, mdp FROM volontaire  WHERE pseudo = '".$pseudo."'";
$resul=mysql_query($Req_login, $base);
$q = mysql_fetch_array($resul,MYSQL_ASSOC);  // mise en forme de la requete
 
 
 
 
 
 
if (($pseudo=="kiki") &&  ($mdp=="cici"))
 
 
{
header('location: http://127.0.0.1/XXXX/YYYY/adminrat.php');  
}
 
 else
 {
 
echo "<font color =#99cccc>"."vous n'avez pas le statut d'administrateur"."</font>";
}
 
 
 
if (($pseudo==$q['pseudo'])&&  ($mdp==$q['mdp']))
{
 
header('location: http://127.0.0.1/XXXXXX/YYYYY/soinrat.php');
}
  else
  {
 echo "<font color =#99cccc>"."Le pseudo ou le mot de passe que vous avez entré est incorrect"."</font>";
 }
 
 
 
if ($pseudo !=$q['pseudo'])
 {
 
  echo "<font color =#99cccc>"."Vous n'êtes pas inscrit(e) sur le site"."</font>";
 }
}

voilà merci pour votre aide

**Fladnag** · 31/10/2005, 20h34

hum...

voyons, tu as les condition :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
if (admin) {
aller sur page admin
} else {
afficher "vous n'etes pas admin"
}
 
if (login & pass OK) {
aller sur page protégée
} else {
afficher "login  ou pass incorrect
}
 
if (login inexistant) {
afficher "login inexistant"
}

Deux petites choses avant de commencer :

1) le dernier if fonctionne t'il vraiment ?
car si le pseudo n'existe pas dans la base, la requete ne va rien renvoyer... donc il serait peut etre mieux de remplacer le if par mysql_num_rows($result) > 1

2) veut tu vraiment que le message "nous n'avez pas le status admin" s'affiche a chaque fois qu'un membre essaye de se logger ? dans la mesure ou tu redirige vers la bonne page automatiquement, je vois pas l'interet de ce message... dans quel cas peut il se declencher ?

Maintenant ton probleme :
Si tu inverse les if et que tu utilise mieux les else, ca marchera mieux :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
if (mysql_num_rows($result) != 1) {
//afficher nous n'etes pas inscrit sur le site
} else if (login == loginAdmin & pass == passAdmin) {
// rediriger vers page admin
} else if (login == loginRequete (toujours vrai en principe, puisque login récupéré de la requete) && pass==passRequete) {
// rediriger vers page protégée
} else {
// afficher "mauvais login/password"
}

**Anduriel** · 31/10/2005, 20h39

Moi je récupérerai juste le nombre de ligne dans ta table existantes avec le mot de passe et le pseudo entré.

**Anduriel** · 31/10/2005, 20h43

Voila comment je ferai:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?
$base = mysql_connect ("localhost", "root", "pouet"); 
 
if ( !empty($_POST['pseudo']) and !empty($_POST['mdp']) ) { 
	$pseudo = $_POST['pseudo']; 
	$mdp = $_POST['mdp']; 
	mysql_select_db("bdoye", $base); 
	$query = @mysql_query("SELECT COUNT(*) AS NbEntry FROM volontaire WHERE pseudo='".$pseudo."' AND mdp='".$mdp."'");
	$result = @mysql_fetch_object($query);
	$nbresult = $result->NbEntry; 
 
	if (($pseudo=="kiki") &&  ($mdp=="cici")) { 
		header('location: http://127.0.0.1/XXXX/YYYY/adminrat.php');  
	} 
	elseif ($pseudo == "kiki" && $mdp != "cici") { 	
		echo "<font color =#99cccc>"."vous n'avez pas le statut d'administrateur"."</font>";
		exit; 
	} 
 
	if ($nbresult == 1) { 
		header('location: http://127.0.0.1/XXXXXX/YYYYY/soinrat.php'); 
	} 
	else { 
		echo "<font color =#99cccc>"."Le pseudo ou le mot de passe que vous avez entré est incorrect"."</font>";
		exit; 
	} 
}
?>

**oceane751** · 02/11/2005, 00h06

ok c'est cool!j'ai compris!
je crois que je me compliquais la vie!!
merci de m'avoir bien eclairci les idées!

**vg33** · 02/11/2005, 00h26

Envoyé par Anduriel

Voila comment je ferai:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?
$base = mysql_connect ("localhost", "root", "pouet"); 
 
if ( !empty($_POST['pseudo']) and !empty($_POST['mdp']) ) { 
	$pseudo = $_POST['pseudo']; 
	$mdp = $_POST['mdp']; 
	mysql_select_db("bdoye", $base); 
	$query = @mysql_query("SELECT COUNT(*) AS NbEntry FROM volontaire WHERE pseudo='".$pseudo."' AND mdp='".$mdp."'");
	$result = @mysql_fetch_object($query);
	$nbresult = $result->NbEntry; 
 
	if (($pseudo=="kiki") &&  ($mdp=="cici")) { 
		header('location: http://127.0.0.1/XXXX/YYYY/adminrat.php');  
	} 
	elseif ($pseudo == "kiki" && $mdp != "cici") { 	
		echo "<font color =#99cccc>"."vous n'avez pas le statut d'administrateur"."</font>";
		exit; 
	} 
 
	if ($nbresult == 1) { 
		header('location: http://127.0.0.1/XXXXXX/YYYYY/soinrat.php'); 
	} 
	else { 
		echo "<font color =#99cccc>"."Le pseudo ou le mot de passe que vous avez entré est incorrect"."</font>";
		exit; 
	} 
}
?>

Attention ! Ton script est perméable à une sql injection puisque tu ne valides pas tes POST avant de faire ton SELECT.

**Anduriel** · 02/11/2005, 10h41

une sql injection?
Désolé je n'ai jamais entendu ce terme...

**vg33** · 02/11/2005, 10h51

Envoyé par Anduriel

une sql injection?
Désolé je n'ai jamais entendu ce terme...

Fais une recherche dans Google...
Tu verras que l'injection sql est l'un des plus grands dangers courrus par ta bdd... L'un des moindres maux peut être la connexion avec statut d'admin sans mdp...

**trattos** · 02/11/2005, 12h49

Envoyé par Anduriel

une sql injection?
Désolé je n'ai jamais entendu ce terme...

Pour l'empêcher contrôle le nombre de caractère pour le mot de passe et le pseudo (par exemple limiter à 15 caractères) et utilises htmlentities() pour empêcher les caractères interdits!

**Mr N.** · 02/11/2005, 12h54

Envoyé par trattos

Pour l'empêcher contrôle le nombre de caractère pour le mot de passe et le pseudo (par exemple limiter à 15 caractères) et utilises htmlentities() pour empêcher les caractères interdits!

Ce sont des pseudos empechements ça !
"The" fonction ad-hoc pour mysql =>
http://us3.php.net/mysql-real-escape-string

**vg33** · 02/11/2005, 13h04

Si, comme c'est conseillé pour éviter les attaques par sniffing, tu cryptes login et mdp sur le client par js, tu ne risques plus de sql injection, sous réserve de vérifier que tes logins et mdp ne contiennent que des lettres et des chiffres.

**Mr N.** · 02/11/2005, 13h28

Envoyé par vg33

Si, ...

A qui tu t'adresses ? à moi qui réfute le fait de limiter à X caractère le login dans le but d'empecher les injections SQL ?

C'est sur que demander uniquement des caractères alphanumériques empêche les injections SQL, mais limite le choix du login (après c'est un choix à faire).

Quid des champs textes tels qu'un article par exemple. ou ne va pas banir tout les caractères autres que l'alphabet sous prétexte de sécurité...

Il ne faut pas perdre de vue que l'ennemi peut être déjà dans les murs et que se borner aux injections sur le login est vraiment illusoire.

Donc même si limiter les caractères est une solution, ce n'est pas la solution.

**vg33** · 02/11/2005, 13h43

Envoyé par Mr N.

Envoyé par vg33

Si, ...

A qui tu t'adresses ? à moi qui réfute le fait de limiter à X caractère le login dans le but d'empecher les injections SQL ?

C'est sur que demander uniquement des caractères alphanumériques empêche les injections SQL, mais limite le choix du login (après c'est un choix à faire).

Quid des champs textes tels qu'un article par exemple. ou ne va pas banir tout les caractères autres que l'alphabet sous prétexte de sécurité...

Il ne faut pas perdre de vue que l'ennemi peut être déjà dans les murs et que se borner aux injections sur le login est vraiment illusoire.

Donc même si limiter les caractères est une solution, ce n'est pas la solution.

Je ne m'adressais pas à toi spécialement

Le sujet étant sur un login et un mot de passe, j'ai fait une remarque générale.
Au passage, je ne limite en rien le login à des caractères alphanumériques. J'ai dit que :

tu cryptes login et mdp sur le client par js

sous-entendu : par md5.
Or, md5 renvoie une chaine de 32 caractères alphanumériques. Donc si le POST reçu n'est pas alphanumérique, c'est qu'il n'a pas été crypté correctement, donc renvoi à la page de login.

Pour ta solution, je suis d'autant plus d'accord qu'elle m'a permis de mettre à jour une vulnérabilité dans mon code (c'est l'arroseur arrosé

) et que je suis en train de la corriger avec mysql_escape_string...
Donc, merci pour ton intervention

**Fladnag** · 02/11/2005, 13h44

oui, je suis d'accord avec Mr N...

c'est comme choisir de ne pas prendre sa voiture les jours de pluie parce qu'on sait qu'on a les pneus lisse... ca fonctionne, certes, mais la meilleure solution est encore de changer les pneus.

**Mr N.** · 02/11/2005, 13h59

Envoyé par vg33

... m'a permis de mettre à jour une vulnérabilité dans mon code (c'est l'arroseur arrosé

) et que je suis en train de la corriger avec mysql_escape_string...
Donc, merci pour ton intervention

8)

**trattos** · 02/11/2005, 17h24

Apparement mysql_real_escape_string() est mieux appréciée!

**vg33** · 02/11/2005, 20h31

Envoyé par trattos

Apparement mysql_real_escape_string() est mieux appréciée!

Les différences entre les 2 sont, d'après le manuel :

mysql_escape_string() est identique à la fonction mysql_real_escape_string() hormi le fait que mysql_real_escape_string() requiert une ressource de connexion et protège la chaîne en fonction du jeu de caractères courant. mysql_escape_string() ne demande pas de connexion comme argument, et ne respecte pas le jeu de caractères courant.

Donc : quel est le problème si on ne respecte pas le jeu de caractères courant ?
Et s'il y a un problème, n'est-ce pas lourd de faire une requête à chaque mysql_real_escape_string, puisqu'il faut une connexion ouverte ?

**Mr N.** · 03/11/2005, 08h16

Ben de toute façon tu utilises cette fonction pour rentrer les infos dans mysql donc ta conexion devrait déjà être ouverte...

**oceane751** · 03/11/2005, 11h21

bon j'ai réussi à avooir ce que je veux mais il y a une autre chose qui en va pas
en effet, quand l'administrateur se logge, et clique sur "cliquez ici" il arrive sur la page d'administration mais il a le meme resultat s'il clique sur "planning"
et c'estpariel lorsqu'un volontaire veut voir son planning.

revoici le code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
 
<?
session_start();
 
 
 
if (!empty ($_POST['pseudo']))
 {
 
$_SESSION['pseudo']= $_POST['pseudo'];
 }
 
?>
<head>
<script LANGUAGE="JavaScript">
   if (top.frames.length!=0) top.location=self.document.location;
</script>
 
<style>
<!--    A:link {text-decoration: underline; color: #FFFFFF; }
        A:visited {text-decoration: underline; color: #FFFFFF; }
        A:hover { text-decoration: none; color: #FFFFFF;  }
-->
</style>
<title>Bienvenue, identifiez-vous svp.</title>
</head>
<body bgcolor="#0066cc">
<form action="http://127.0.0.1/XXXXX/YYYY/" method='POST'>
<div align="center"></div>
 
  <p align="center">&nbsp;</p>
  <p align="center"><b><font color="#000000" size="4"><u><font color="#99cccc">Veuillez
    vous identifier svp :</font></u></font></b></p>
  <p align="center">&nbsp;</p>
  <table width="48%" border="0" align="center">
    <tr>
      <td background="backdraft.gif" width="70%"><font color="#FFFFFF"><strong>Entrez-ici votre login: </strong></font></td>
      <td background="backdraft.gif" width="30%"><INPUT TYPE="text" NAME="pseudo" ></td>
    </tr>
    <tr>
      <td background="backdraft.gif"><font color="#FFFFFF"><strong>Entrez-ici votre mot de passe:</strong></font></td>
      <td background="backdraft.gif"><INPUT TYPE="password" NAME="mdp"></td>
 
      </tr>
 
  </table>
  <br><br>
 
 
 
   <center><form action="http://127.0.0.1/XXXXXX/YYYY/soinrat.php">Pour consulter votre planning du soin des rats</center>
   <br><br><center><input type='submit' value='Planning'>
 
  <p align="center"><b><font color="#99CCCC">
    </font></b><br>
    <b><form action="http://127.0.0.1/XXXXX/YYYYYY/adminrat.php">Pour l administrateur,</b><br><br>
<input type='submit' value='cliquez ici'>
 
<br><br>
    <a href="http://127.0.0.1/XXXXXX/YYYYY/formulairerat.php"><font color="#99cccc"><strong>Pour devenir volontaire de l association, cliquez ici</strong></font></a><br>
    <br>
    <br>
 
 
 
    <br>
    <br><br>
 
    <?PHP
//include ("definitionrat.php");
$base = mysql_connect ("localhost", "root", "pouet");
 
 
if ( !empty($_POST['pseudo']) and !empty($_POST['mdp']) )
 
{
 
$pseudo = $_POST['pseudo'];
$mdp = $_POST['mdp'];
mysql_select_db("CCCC", $base);
$Req_login="SELECT pseudo, mdp FROM volontaire  WHERE pseudo = '".$pseudo."'";
//$Req_mdp="SELECT mdp FROM volontaire  WHERE mdp = '".$mdp."'";
 
$resul=mysql_query($Req_login, $base);
$q = mysql_fetch_array($resul,MYSQL_ASSOC);  // mise en forme de la requete
 
 
if (($pseudo=="kiki") &&  ($mdp=="cici")) {
      header('location: http://127.0.0.1/XXXXX/YYYYY/adminrat.php');
   } 
   elseif ($pseudo != "kiki" && $mdp == "cici") {
      echo "<font color =#99cccc>"."vous n'avez pas le statut d'administrateur"."</font>"; 
      exit; 
   } 
 
   if (($pseudo==$q['pseudo'])&&  ($mdp==$q['mdp'])) {
      header('location: http://127.0.0.1/XXXX/YYYYY/soinrat.php');
   } 
   else { 
      echo "<font color =#99cccc>"."Le pseudo ou le mot de passe que vous avez entré est incorrect"."</font>"; 
      exit; 
   } 
}
 
 
 
 
?>
 
<html>
 </u> <p align="center">&nbsp;
  <p align="center"><font color="#333333">oce@necoin &copy;</font><table border=0>
  <tr>
    <td align="center" background="background.gif" bgproperties="fixed"></font> </p>
  </form>
  </td>
</tr>
</body>
</HTML>

**Mr N.** · 03/11/2005, 11h58

Tu as une balise qui traine en plein milieu
Tu ne peux avoir plusieurs formulaires imbriqués

[Sécurité] gestion erreur login mdp

Langage PHP

Discussions similaires

Partager

Partager