Discussion :

[morpheus007]

bonjour j'ai fait une petite fonction d'authentification à insérer dans toute les pages mais je me fais hacker. Je pense qu'elle a un problème mais je n'arrive pas à le trouver. Voilà ma fonction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
function securiter($table,$redirect)
{
 
if ((!isset($_POST['log'])) && (!session_is_registered('siad_pass')))
{
echo"<script language='javascript'> alert('Veuillez vous identifier  ! ');</script>";
 echo"<script language='javascript'>";
echo" document.location='".$redirect."'";
 echo"</script>";
}
else 
{
if (session_is_registered('siad_pass'))
{
$password=$_SESSION['password'];
$login=$_SESSION['login'];
 
}
else
{
 
$login=$_POST['log'];
$password=md5($_POST['pwd']);
 
$v=mysql_query("select * from $table where login='$login' and password='$password'");
$d=mysql_num_rows($v);
 
if (!$d)
{
echo"<script language='javascript'> alert('erreur sur le login ou sur le mot de passe  ! ');</script>";
 echo"<script language='javascript'>";
echo" document.location='",$redirect,"'";
 echo"</script>";
}
else
{session_register('siad_pass');
$_SESSION['login']=$login;
$_SESSION['password']=$password;
$_SESSION['id']=$d;
}
}
}
}

merci pour votre aide

[Bluesky25]

Bonjour,

A priori je pencherais pour un problème d'injection SQL: ton code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$v=mysql_query("select * from $table where login='$login' and password='$password'");

utilise directement les valeurs des variables POST. Ainsi, si l'utilisateur saisi quelque chose du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

' OR 1=1 OR ''='

en login. Ta requête SQL renverra toutes les lignes de ta table $table de façon systématique et l'utilisateur sera authentifié d'après ton code.

Une règle de base est de TOUJOURS filtrer TOUTES les variables provenant de l'extérieur et utilisées dans un script. En PHP, il existe par exemple des fonctions pour échapper les quotes et autres caractères spéciaux (addslashes(), cf. doc PHP) avant d'utiliser les variables dans une requête SQL (+ possibilité magic_quotes). Le mieux restant à mon avis, et de loin, d'utiliser des "prepared statements" lors des appels aux BDD mais je ne sais pas si c'est possible en PHP avec l'extension mysql classique (je ne suis suffisamment habitué à PHP). mysqli les propose en tout cas mais je ne les ai jamais utilisés.

En espérant avoir été utile ;-) !