Discussion :

[salyiohh]

salut tt le monde :

j'ai prepare une class login pour l'utilisateur , d'apres qlq avis des amis sur le web presque tous parlent des erreur FATAL au niveau de securite alors je veux votre avis ,et si c'est vrai ,pouviez vous m'indequer les erreurs ,et si vous voulez bien m'aider a rendre mon code plus securisee merci voila mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
<?php
session_start();
 
class mysql{
 
		private $host="localhost";
		private $user="root";
		private $pass="";
		private $database="vv";
 
		function __construct(){
 
			mysql_connect($this->host, $this->user, $this->pass);
			mysql_select_db($this->database);
		}
 
		function sql(){
 
			$username=$_POST['nom'];
			$password=sha1($_POST['password']);
 
			$req="SELECT * FROM utilisateur WHERE nom='$username' AND password='$password'";
			$query=mysql_query($req);
			$rows=mysql_num_rows($query);
 
			if($rows==1){
 
			$_SESSION['username']="username";
			$_SESSION['password']="password";
			header("location:admin.php");
			}else{
			echo"il y a un erreur";
			}
 
		}
 
 
}
$use=new mysql;
$use->sql();
 
?>

[vorace]

premiere remarque :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$username=$_POST['nom'];
$password=sha1($_POST['password']);

tu récupères tes variables sans les sécuriser...
deuxième remarque : tu fais appel à des variables POST dans ta classe, es tu sure de leurs existence quand tu instancies ton objet ? pourquoi ne pas les passer en paramètres à ta méthode sql() ?!
troisième remarque tant qu'à faire de l'objet utilise PDO plutôt que mysql.

[ascito]

il semble compliqué de gérer une class BBD, avec un autoConstructeur gérant la liaison a la bdd.

[salyiohh]

salut vorace
a vrai dire je suis presque NULL dans ce qui concerne la conception de la securite .
mais je veux comprendre une chose qu'on parle de la securite ,la on parle des menaces sur mon site web qui est heberger dans un server , vous voyez pas avec moi que cette tache de securite normalement c'est au server d'hebergement d'on se occuper??? parceque mes fichiers sont sur son disque dur ? oubien il y a des truc php (des fichier comme j ai entendu parle de shell.php) qui renvoi des donnees et des infos proprietaire de site web cible?
je sais pas si j'ai bien explique ca..
mais bon j'esperes comprendre comment profitant d'une syntaxe mal code pour avoir acces a des donnees prive et quels sont les risques?
une autre question :
vous m'avez dit :tu récupères tes variables sans les sécuriser...
pouviez vous me donner un exemple de securite de ces varaibles?
et merci

[vorace]

sécuriser variables POST et GET :
http://www.viaphp.net/portions/secur...es-get-et-post
sécurité :
http://www.elitwork.com/securite.html

[Benjamin Delespierre]

Question: pourquoi faire une classe MySQL quand il existe PDO ?