Discussion :

[Niki59]

Bonjour,

Je suis novice en php et en programmation, j'ai crée une partie administration sur un site que j'ai concu de A à Z. Pour acceder à cette administration il faut juste entrer un mot de passe (pas de login). Je me suis servis des sessions, voici ce que j'ai fait :


Du coté HTML c'est un "input text" où l'on renseigne le mot de passe.

Et du coté php c'est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
// Psw admin
define('PREFIX_SALT', '73PozF');
define('SUFFIX_SALT', '&6nw0w');
$pwd = md5(PREFIX_SALT.'motd3p4ss3'.SUFFIX_SALT);
 
 
if (isset($_POST["pwd"])) 
{
	if (md5(PREFIX_SALT.$_POST["pwd"].SUFFIX_SALT) == $pwd) 
	{ 
 
		// Connexion réussi
		$_SESSION["pwd"] = $pwd; 
		header("Location: admin.php"); 
	}
	elseif  (md5(PREFIX_SALT.$_POST["pwd"].SUFFIX_SALT) != $pwd) 
	{ 
		echo '<span class="warn">Le code que vous venez d\'entrer est incorrect!</span>'; 
		session_destroy();
		header("Refresh: 2;url=index.php"); 
	}
}

Le mot de passe est 'motd3p4ss3'
Tout fonctionne à merveille, je voulais juste savoir si niveau sécurité on pouvait mieux faire ou corriger certains trucs ?

Merci.

[ThomasR]

Bonjour,

d'un point de vue logique,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
efine('PREFIX_SALT', '73PozF');
define('SUFFIX_SALT', '&6nw0w');
$pwd = md5(PREFIX_SALT.'motd3p4ss3'.SUFFIX_SALT); 
if (isset($_POST["pwd"])) 
{
	if (md5(PREFIX_SALT.$_POST["pwd"].SUFFIX_SALT) == $pwd) 
	{

revient à faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
$pwd = '7ca1365b3024ea624dc71ffe13efcd06';//md5('motd3p4ss3')
if(isset($_POST['pwd'])){
    if(md5($_POST['pwd']) == $pwd){
 
    }
}

Aussi,
ca ne te sert à rien d'encoder le mot de passe en md5 alors qu'il est écrit en clair dans ta page. Le md5 te servira surtout pour enregistrer des mots de passe et qu'ils ne soient pas lisible par un administrateur de base de données par exemple.

[Fladnag]

J'ai pas tout regardé mais...

* mettre le mot de passe dans le fichier est une mauvaise idée
* le cryptage md5 n'est pas tip top
* ton code redirige sur admin.php si le pass est le bon... et si on va directement sur la page admin.php ? Il y a une protection ensuite ?
* mettre le pass crypté en session ne sert a rien

[Sub0]

Bloquer le compte un certain temps en cas d'échec consécutifs (piratage par force brute)...

[Niki59]

Mais en application et en lignes de codes vos conseils sa donne quoi?

Merci.

[Sub0]

Regarde ma réponse dans ce sujet, je crois qu'elle peut correspondre à ton besoin.