Discussion :

[laurentSc]

Bonjour,
je teste la valeur de mot de passe fournie, et si elle est correcte, je souhaite rediriger pour que l'utilisateur puisse passer à l'étape suivante :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
if ($_POST['mdp_actu']=="mdp_correct"){
       header('Location: '.'\PasDePanique\controller\Admin\Actu_disp_admin.php');

donne

Cette page n'existe pas

Comment faut-il faire SVP ?

Ne sachant pas, j'ai pratiquement copié le code du routeur : 'actu-admin' => \PasDePanique\controller\Admin\Actu_disp_admin::class, mais il faut visiblement faire autrement...

[Toufik83]

Bonjour,

Si tu es en MVC, il faudrait utiliser seulement le contrôleur (et la méthode si elle est obligatoire) correspondant à la page que tu veux afficher, à mon avis header('Location: actu-admin'); devrait afficher la bonne page.

[cavo789]

J'espère que tu ne fais pas comme tu l'as affiché dans ton exemple. Tu reçois donc un mot de passe (en clair) et tu le compares avec une chaîne.

Logiquement le mot de passe que, toi, tu connais est hashé et certainement pas en clair (ce qui t'exposerais à des failles importantes de sécurité).

Il y a quelques années j'ai joué à écrire un petit code (https://php-password.avonture.be/) pour ce type d'usage. Jamais utilisé par moi-même mais ce soir-là je m'ennuyais visiblement 😏.

[laurentSc]

Parfait

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 if ($_POST['mdp_actu']=="mdp.correct"){
       header('Location:actu-admin');
   }
    else {
        header('Location:404');
    }

[cavo789]

Et si on accède en direct à la page actu-admin tu as bien un contrôle de sécurité ?

[laurentSc]

Logiquement le mot de passe que, toi, tu connais est hashé et certainement pas en clair (ce qui t'exposerais à des failles importantes de sécurité).

Certes, je pourrais hasher le mot de passe, mais comme c'est un fichier d'extension php, il est non lisible, donc quel est le risque ?

[laurentSc]

Et si on accède en direct à la page actu-admin tu as bien un contrôle de sécurité ?

A vrai dire, je ne me suis pas préoccupé de ce cas, donc j'ai ajouté cela :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

if (isset($_POST['mdp']) && ($_POST['mdp']=="mdp.correct")) { etc

mais visiblement, il n'existe pas...

[cavo789]

C'est pas "je pourrais" mais "je dois". Tu ne peux pas connaître le mot de passe tout comme tu devrais donner la possibilité de le changer. De ce que je lis, tu le connais donc et ton utilisateur ne peut pas le changer.

Toute autre approche est mauvaise.

Pour ton interprétation qu'un fichier php est sécurisé c'est faux : si ton hébergeur se plante au niveau de sa configuration, les fichiers php pourraient être affichés et non exécutés. Tu n'as pas certitude absolue que ce ne sera pas le cas.

Tu peux aussi utiliser une écriture htaccess pour indiquer que l'extension php doit être traitée par, p.e., php8.3 et cette version pourrait ne pas être disponible ce qui ferait que ton script serait comme un fichier txt.

Pour illustrer ce que j'écris ci-dessus voici un exemple non testé (vite cherché sur Google) : AddHandler application/x-httpd-php81 .php

Associe les fichiers php à php 8.1... qui pourrait ne pas être dispo ou l'instruction n'est pas valide, ce qui provoque l'affichage du code et non son exécution.

[cavo789]

A vrai dire, je ne me suis pas préoccupé de ce cas, donc j'ai ajouté cela :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

if (isset($_POST['mdp']) && ($_POST['mdp']=="mdp.correct")) { etc

mais visiblement, il n'existe pas...

Ouch... Protection à minima donc. Et terriblement aisée à contourner.

[laurentSc]

Pas eu le temps de m'occuper des posts 8 et 9. J'espère pouvoir demain.

[laurentSc]

Bonjour,
j'arrive enfin à prendre 5 minutes pour traiter tes remarques, Christophe.

D'abord, je compte faire simple, donc ne pas donner la possibilité de modifier le mot de passe.
Néanmoins, je hashe le mot de passe.
Cela dit, ce code laissera quand même en clair le mot de passe, donc il faut le mettre sous forme hashée en bdd ou dans un fichier n'est-ce pas ?

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
    if (password_hash($_POST['mdp_actu'])==password_hash("mot_de_passe")){
       header('Location:actu-admin');
   }
    else {
        header('Location:404');
    }

[cavo789]

Hello

As-tu jeté un coup d'oeil à mon repo; celui que je postais dans le message #3.

L'exemple était basique mais il réponds à ton besoin. Le mot de passe n'est pas dans le code source et certainement pas en clair.

Cela étant, la sécurité étant quelque chose de tellement difficile, dans ce cas, il est préférable de ne pas réinventer la roue et de partir sur des solutions robustes; développées par la communauté Open source. Je n'ai pas de liens à te proposer mais sans aucun doute il doit exister des librairies toutes faites pour des cas comme le tien.

[laurentSc]

J'avais déjà oublié ton lien (que j'avais consulté hier)...Bon, un des problèmes est une mémoire lamentable

J'ai cherché un lien pour ne pas réinventer la roue et je suis tombé sur https://waytolearnx.com/2020/01/form...-et-mysql.html et y a un formulaire d'inscription...On verra cet après-midi.

[cavo789]

Je songeais à des "package" comme, pour Laravel, Laravel Sanctum, prêt à l'emploi.

Pour un php vanilla (ton cas), je songeais à une dépendance composer... J'aurais cherché dans cette direction mais aucune expertise ici. Note : ne pas prendre n'importe quoi mais des outils connus et confirmés ainsi que toujours maintenus.. 'pour autant qu'il y en existe.

[laurentSc]

OK, du coup, j'ai cherché une dépendance à insérer avec composer. Je suis tombé sur https://getcomposer.org/doc/articles...ual-http-basic et on peut lire

http-basic#
Command line http-basic#

php composer.phar config [--global] http-basic.repo.example.org username password

In the above command, the config key http-basic.repo.example.org consists of two parts:

http-basic is the authentication method.
repo.example.org is the repository host name, you should replace it with the host name of your repository.

Manual http-basic#

php composer.phar config [--global] --editor --auth

{
"http-basic": {
"example.org": {
"username": "username",
"password": "password"
}
}
}

Je préfère bien sûr la fin où il s'agit de mettre à jour composer.json mais où trouve-t-on le host name of your repository ?

[cavo789]

OK, du coup, j'ai cherché une dépendance à insérer avec composer. Je suis tombé sur https://getcomposer.org/doc/articles...ual-http-basic et on peut lire
Je préfère bien sûr la fin où il s'agit de mettre à jour composer.json mais où trouve-t-on le host name of your repository ?

Ce que tu postes ici est hors sujet : rien à voir avec ton sujet #1 il me semble. Tu t'es perdu quelque part en route.

Si c'est trop compliqué, rabats-toi sur la proposition de code du post #3 mais gare à protéger les pages protégées... Contrôler l'accès comme tu le fais c'est juste s'assurer que l'utilisateur qui visite cette page-là (login.php ?) puisse être redirigé vers l'administration. Mais si j'ai connaissance du nom de la page admin et que je m'y rends sans passer par ta page de login, c'est vraiment là-bas qu'il faut s'assurer que c'est valide. C'est la page destination qui doit être protégée.

Une autre façon de faire : tu crées un dossier nommé "admin" et, dans ce dossier-là, tu places un fichier .htaccess et .htpasswd qui vont vérouiller l'accès. Si quelqu'un tape en URL ".../administrator/" boum, .htpasswd prends la main et il est impossible de bypasser cette protection-là. C'est moins "beau" mais rudement efficace. Voici une explication dans l'un de mes repos GitHub : https://github.com/cavo789/htaccess#htpasswd

Tu y trouveras un lien vers un outil de génération / encryption de mot de passe.

[laurentSc]

J'ai regardé ton code du post #3.

Quelques questions.

1- Si je comprends bien, ça ne traite que une nouvelle authentification, mais il reste nécessaire de protéger les pages. OK ?

2- A quoi bon mettre le mot de passe hashé dans un fichier à part ? Car vu qu'il est hashé, ça ne craint rien de le mettre en dur, non ?

3- Peux-tu m'expliquer ce que fait la ligne $password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING); (suis pas du tout un expert de la fonction filter_input)

[cavo789]

Bonsoir

1. Correct, mon code est un exemple, pas une solution

2. Parce que c'est plus propre de séparer le code (la programmation) des données. C'est donc toujours un exemple mais ce fichier pourrait être mis à jour par un autre processus, pourrait être une base de données (pas un fichier),...

3. Permets moi de te rediriger sur le site php.net qui est la doc officielle.

[laurentSc]

Permets moi de te rediriger sur le site php.net qui est la doc officielle.

oui, c'est par flemme et pour éviter d'avoir à lire ce qui ne me concerne pas. Donc, j'y ai été et j'ai encore des questions : le 3e paramètre de la fonction est filter. Pour en avoir une description, il faut aller sur https://www.php.net/manual/en/filter.filters.php ; comme ton code est $password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING);, j'ai regardé ce qu'ils disent sur sanitize filters : https://www.php.net/manual/en/filter...s.sanitize.php ; y a une colonne Flags ; les propositions de valeur pour FILTER_SANITIZE_STRING sont FILTER_FLAG_NO_ENCODE_QUOTES, FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_STRIP_BACKTICK, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH, FILTER_FLAG_ENCODE_AMP. Mais tu n'en as pas mis. La valeur par défaut est 0 (pas de filtre) et du coup, je sais pas ce que ça fait.

[laurentSc]

J'ai essayé ton code et

Deprecated: Constant FILTER_SANITIZE_STRING is deprecated in C:\projets\arnaudpoo\src\controller\Admin\ActuPwd.php on line 29

donc j'ai remplacé $password = filter_input(INPUT_POST, $_POST['mdp_actu'], FILTER_SANITIZE_STRING); par $password = htmlspecialchars($_POST['mdp_actu']);. OK ?