URL non protégé alors qu'il y a un mot de passe

Version imprimable

Bonjour,

J'essai de créer une page qui sera protégée par un mot de passe, mon code fonctionne assez bien, mais le problème c'est que si je rentre l'adresse avec les paramètres dans l'URL, il n'y a pas d'authentification demandé, la page s'affiche simplement. Comment faire pour éviter cela?

Voici mon formulaire pour l'authentification:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
<?php
	include ('en_tete_general.html');
	include('menu_deroulant.inc.php');
?>
<div class="corps_identification">
<br><br>
 
<p class="legend_identification"><u> Veuillez vous identifiez pour avoir accès à votre page </u></p>
 
	<fieldset class="cadre_identifiant">
		<legend class="legend_identification">Identifiez-vous :</legend>
						<br>
 
			<div class="identifiant">
 
				<form method="get" name="form_identification" action="test_identifiant.php">
 
					<span class="case_identification" ><b><u><i>Prénom :</u></b></i></span> 
						<br>
							<input type="text" name="prenom" class="case_identification">
						<br>
						<br>
					<span class="case_identification"><b><u><i>Mot de passe :</u></i></b></span> 
						<br>
							<input type="password" name="password" class="case_identification">
						<br>
						<br>
							<input type="submit" value="validez" class="validation_identification">
						<br>
				</form>
			</div>
	</fieldset>
 
 
</body>
</html>

Et voici la page qui traite les données:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
<?php
	include ('en_tete_general.html');
	include('menu_deroulant.inc.php');
?>
 
<div class="corps_identification">
<br><br>
 
<?php
 
if(isset($_GET['prenom']) AND isset($_GET['password']))
{
	include ('cnx.php');
	$prenom = mysql_real_escape_string($_GET['prenom']);
	$password = mysql_real_escape_string($_GET['password']);
 
 
	$req = "SELECT prenom, mdp, categorie FROM identifiants WHERE prenom = '". $prenom ."' AND mdp = '". $password ."'";
 
	$resultat = mysql_query($req);
 
		if ( mysql_num_rows($resultat) === 1 )
		{
		    $retour_mysql=mysql_fetch_assoc($resultat) or exit('erreur dans la requête: '.mysql_error());
			header('location: admin.php?prenom='.$retour_mysql["prenom"].'&categorie='.$retour_mysql['categorie']);
		}
		else
		{
		     echo "Mot de passe ou prénom incorecte";
		     echo "<br><a href='identification.php'>Cliquez ici pour essayer une nouvelle fois</a>";
		}
 
	}
 
 
?>

J'espere que j'ai bien réussi à me faire comprendre.

En vous remerciant d'avance pour vos réponses

16/07/2010, 16h20
Raideman

Salutations,
Quelle url tapes-tu pour accéder "en force" à ta page?
La je vois un formulaire de connexion, et un fichier de traitement BDD mais pas le fichier admin par exemple qu'il serait intéressant d'avoir sous la main aussi.

Re

Tout d'abord merci pour ta réponse.

L'URL que je rentre dans la barre d'adresse est :

Code:

admin.php?prenom='.$retour_mysql["prenom"].'&categorie='.$retour_mysql['categorie'])

Ensuite pour ce qui est de la page "admin" sur laquelle on tombera une fois l'identification effectuée. Je n'ai pas fait grand chose dessus encore. La voici pour l'instant:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 <?php include ('en_tete_general.html'); include('menu_deroulant.inc.php'); ?> <div class="corps"> <br><br> Salut <?php echo $_GET['prenom'];?>, comment vas tu? </div> </body> </html>
J'ai mis cela juste pour tester que tout fonctionne bien.

17/07/2010, 01h58
Raideman

Salut,
Ben c'est normal qu'on puisse accéder à admin vu qu'il n'y a aucun controle dans la page pour vérfier si la personne s'est identifiée.
Faudrait par exemple inclure dans chaque page que tu souhaites protéger un bout de code (en include par exemple) qui se chargerait :
->De vérifier si la personne s'est identifiée (via une variable de session par exemple)
->Si la personne s'est dejà loggé correctement alors tu laisses la page s'afficher
->Sinon tu renvois sur la page de formulaire de connexion à la partie privée de ton site.

Une discussion pas mal ici : http://www.developpez.net/forums/d88...selon-session/
17/07/2010, 06h27
RunCodePhp

Salut

Pour une partie admin, l'idéal (je dirais même, le minimum) serait de reposer en 1er l'identification sur le couple .htaccess et .htpasswd.

Les sessions pourraient ici être la 2ème couche.
21/07/2010, 10h00
ptilemare

Bonjour,

En effet les htaccess sont assez puissants.
Quelques infos ici : http://fr.wikipedia.org/wiki/Htaccess
Tu pourra trouver pas mal de tutos sur la toile ;)

Cordialement.