> Tous les forums > Forum des Webmasters
 Espace membre !! Quels sont les failles ?Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
cekica
  Posté le 07/11/2007 @ 20:20 
Aller en bas de la page 
Petit astucien

Bonjour tous le monde !

Voilà j'ai créé mon propre espace membre. voici le script :

Une page normal .Qui verifie si l'utilisateur est enregistré :

<?php

session_start();

if(isset($_SESSION['user_name']))

{

echo "Bienvenue ".$_SESSION['user_name'];

echo "voici vos options, blablabla";

}else{

echo "formulaire d'identification";

}

?>

Script de vérification :il recupère les informations du formulaire d'identification :

<?php

if(isset($_POST['formlogin'])) //formlogin est le nom du bouton de validation du formulaire.

{

$login = htmlspecialchars($_POST['login']); // recuperation du login

$password = htmlspecialchars($_POST['password']); // recuperation du mot de pass

$res = mysql_fetch_array(mysql_query("SELECT * FROM user WHERE login = '".$login."'"));// éxecution de la requête sql

if($res['password'] == md5($password)) //vérification du mot de pass

{

$_SESSION['user_name'] = $res['login']; // si le mot de pass correspond ,on enregistre la session

}else{

echo "erreur d'identification"; //sinon on affichele message

}

}else{

echo "... on affiche le formulaire ici... ";

}

?>

La question est simple : est ce qu'il y a des failles dans ce script ?

et puis en passant es-il possible d'optimiser ce script ?( je pensse que oui ).



Modifié par cekica le 07/11/2007 20:21
Publicité
Malcolm
 Posté le 07/11/2007 à 20:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Salut,

optimisable, sans doute.

Pourquoi 2 pages pour cette verification ?

Faille de sécurité, ce n'en est pas une à proprement parler, mais je vois qqch qui me dérange : le SELECT *

Les raisons ici : http://www.php-astux.info/mysql-requetes-sql.php#requete-frequentes

(consulte le § sur le SELECT, et surtout les raisons en dessous)

Sinon au lieu des echo "..." tu peux utiliser echo '...' car le single quote est plus rapide à l'exécution que double quote (mais là je pinaille)

cekica
 Posté le 08/11/2007 à 17:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
il y a deux page car la premiere et une page protege .laqu elle est inacessible sans etre identifie si le pirate cree une page php où il declare une session et enregistre la variable session que j utilise et ensuit vien sur ma il=page protege, et ce qu il poura y aceder comme si il etait identifie ?
Malcolm
 Posté le 09/11/2007 à 11:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

je ne pense pas ... Ou je n'ai pas bien compris ta requête.
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
35,99 €Clé USB Sandisk Ultra Go 256 Go à double connectique USB 3.1 Type A et C à 35,99 €
Valable jusqu'au 24 Octobre

Amazon fait une promotion sur la clé USB Sandisk Ultra Go 256 Go à double connectique USB 3.1 Type A et C qui passe à 35,99 €. Cette clé USB  dispose d'un connecteur USB Type C et d'un connecteur classique de type A. Grâce à elle, transférez en toute simplicité et rapidement (jusqu'à 150 Mo/s) vos fichiers entre vos smartphones, tablettes et ordinateurs. On la trouve ailleurs à plus de 45 €.


> Voir l'offre
GratuitJeu PC Among the Sleep: Enhanced Edition gratuit
Valable jusqu'au 28 Octobre

Epic Game Store offre actuellement le jeu PC Among the Sleep: Enhanced Edition. Among the Sleep est un jeu d'aventure-horreur à la première personne dans lequel vous incarnez un enfant de deux ans. Après avoir été réveillé au milieu de la nuit par des bruits mystérieux, vous commencez à explorer l'obscurité en quête de réconfort. Le jeu exprime l'horreur par le biais de l'atmosphère et de l'exploration, sans score ni système de combat. Dans Among the Sleep, vous êtes vulnérable, effrayé, et vous essayez de comprendre le monde qui vous entoure. Audio en anglais, texte en français. PEGI 12.


> Voir l'offre
85,30 €Kit de 16 Go (2x8 Go) de mémoire DDR4 Corsair Vengeance RGB Pro 3600 MHz à 85,30 € livré
Valable jusqu'au 25 Octobre

Amazon Allemagne fait une promotion sur le kit de 16 Go (2x8 Go) de mémoire DDR4 Corsair Vengeance RGB Pro 3600 MT/s CL18 à 80,57 € (avec la TVA ajustée). Comptez 4,73 € pour la livraison en France soit un total de 85,30 € livré alors qu'on le trouve ailleurs autour de 110 €. Vous pourrez personnaliser la palette de couleurs directement depuis le logiciel Corsair iCU.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane.


> Voir l'offre

Sujets relatifs
créer un espace membre sous wordpress
espace membre
Aide pour installer un espace membre svp
Soucis pour mettre en place un espace membre
Probleme de script, création d'un espace membre
base de données, espace membre, et points d accès
Recherche d'un espace membre en PHP
question sur le comentaire et espace membre
espace membre
espace membre
Plus de sujets relatifs à Espace membre !! Quels sont les failles ?
 > Tous les forums > Forum Forum des Webmasters