Administration avec un login

clad · 10 Août 2005

salut

est ce qu on peut faire un system avec un login pour etre admin d un site qu on fait en PHP?

si il ya moyen j'aimerais savoir comment on fait la lol

jeroen · 10 Août 2005

oui, c'est même assez simple. recherche "identification par cookie" sur google.

clad · 10 Août 2005

ok merci

yuston · 10 Août 2005

par cookie?! c'est pas très bien ca... c'est pas assez sécurisé je pense... cherche plutot "identification par session" sur google.

jeroen · 10 Août 2005

yuston a dit:
par cookie?! c'est pas très bien ca... c'est pas assez sécurisé je pense... cherche plutot "identification par session" sur google.

Pas assez sécurisé ?

spout · 10 Août 2005

http://www.phpfreaks.com/tutorials/40/0.php
http://www.evolt.org/article/PHP_Login_ ... /17/60265/
http://www.evolt.org/article/PHP_Login_ ... index.html
http://www.mt-dev.com/2002/09/php-login-script/
http://pear.php.net/package/Auth
http://shiflett.org/articles/the-truth-about-sessions

Bon amusement

yuston · 10 Août 2005

jeroen a dit:
yuston a dit:

par cookie?! c'est pas très bien ca... c'est pas assez sécurisé je pense... cherche plutot "identification par session" sur google.

Cliquez pour agrandir...

Pas assez sécurisé ?

Ben oui, tu veux que je te dise quoi d'autre ??? lol

jeroen · 10 Août 2005

yuston a dit:
jeroen a dit:

yuston a dit:

par cookie?! c'est pas très bien ca... c'est pas assez sécurisé je pense... cherche plutot "identification par session" sur google.

Cliquez pour agrandir...

Pas assez sécurisé ?

Cliquez pour agrandir...

Ben oui, tu veux que je te dise quoi d'autre ??? lol

Que tu me donne une adresse ou que tu m'explique pourquoi ?

Vell · 11 Août 2005

Une identification par cookie ? C'est de l'héresie ça :lol:

Pas besoin d'un article, il suffit d'un cybercafé

Ohax · 11 Août 2005

et par htaccess ? ;-)

rottman · 11 Août 2005

Ohax a dit:
et par htaccess ? ;-)

:wink: htaccess est la solution surement la plus inviolable.

Ohax · 11 Août 2005

c'est pour cela que je la propose ;-)

en plus c'est la plus simple à mettre en place

htaccess crypté + login avec cookie (ou sessions)

je ne voit pas comment faire mieu ^^

shrom · 11 Août 2005

yuston a dit:
par cookie?! c'est pas très bien ca... c'est pas assez sécurisé je pense... cherche plutot "identification par session" sur google.

Les sessions ou les cookies, utilisés de façon isolés, sont de vrais passoires. Il est très facile de faire un vol de session ou de simuler un cookie.

Pour avoir un script sécurisé, il faut utiliser une combinaison d'éléments:
- emprunte du client en utilisant les headers HTTP ( user agent, adresse IP ... ) que l'on stocke en session
- identifiant aléatoire unique pour chaque appel stocké en session et par cookie ...

correiaj · 11 Août 2005

Les variables de sessions non global en TLS/SSL sont très bien...
Encore faut-il faire un script secure...
pas du genre je génère le mot de passe tel quel (sans md5 ou autre)
je vérifie le mot de passe sur un script par GET
ça à l´air débile comme ça, mais je l´ai déjà vu plein de fois...

Vell · 12 Août 2005

Oui c'est déja arrivé plusieurs fois dans mes referers de trouver des adresses contenant "admin.php?pass=xxx" , suffisait de cliquer dessus pour obtenir l'administration du site en question.

(Généralement dans mon infinie bonté (hihihi) je les prévenais)

correiaj · 12 Août 2005

Oui pas plus tard que la semaine dernière, un de wri demandait de l´aide sur un code de compteur. l´admin du compteur passait en Get et en POst, enfin pas secure du tout