Protéger l'accès à une page ...

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par Zecat, 16 Janvier 2010.

  1. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 119
    J'aime reçus:
    1
    J'ai trouvé ce bout de code :

    Code:
    <?php
    if (isset($_POST['mot_de_passe'])) // Si la variable existe
    {
        $mot_de_passe = $_POST['mot_de_passe']; // On se crée une variable $mot_de_passe avec le mot de passe entré
    }
    else // La variable n'existe pas encore
    {
        $mot_de_passe = ""; // On crée une variable $mot_de_passe vide
    }
     
    if ($mot_de_passe == "test") // Si le mot de passe est bon
    {
        include("page_ok.php"); // On affiche la page cachée.
    ?>
    
    
    
    <?php
    }
    else // le mot de passe n'est pas bon
    {
        include("page_password.php"); // On affiche la zone de texte pour rentrer le mot de passe.
    ?>
    
    
    
    <?php
    } // Fin du else
    // Fin du code :)
    ?>
    avec page_password.php :

    Code:
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
        <head>
            <title>Page protégée par mot de passe</title>
            <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
        </head>
        <body>
    		<p>Veuillez entrer le mot de passe :</p>
    		<form action="protection.php" method="post">
    			<p><input type="text" name="mot_de_passe" /> <input type="submit" value="Valider" /</p>
    		</form>
        </body>
    </html>
    Question : c'est solide comment ce type de protection ? ca vaut quoi comparé à une protection par htaccess ?

    Pour ceux qui vont dire "c'est pas solide du tout" : -http://www.az-sante.com/TEST_PROTECT/ :mrgreen:
     
  2. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    12 011
    J'aime reçus:
    133
    Il n'y a aucune protection là-dedans. Si tu veux sécuriser l'accès à une page, rien ne vaut (si tu veux un truc plus sexy que le htaccess) un couple identifiant + passe pour en conditionner l'entrée, et la création d'une session dédiée lors de la navigation dans cet espace restreint.

    Sur le sujet tu as notamment ce tuto qui donne de bonnes pistes de départ : http://www.phpdebutant.org/article69.php
     
  3. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 119
    J'aime reçus:
    1
    Aucune protection. Le dire ok mais encore ? C'est faible ou ?

    Petite modif : je n'ai pas mis la page-ok en include mais direct dans le code ... en effet, cela permettait si on connaissait le nom de "page-ok" d'y accéder en direct ... ce n'est plus le cas ...
     
  4. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    12 011
    J'aime reçus:
    133
    N'importe qui, s'il connaît l'adresse de la page est en mesure d'accéder à celle-ci.

    Enfin après, tout dépend du niveau de sécu que tu veux mettre en place, et ce que tu cherches à protéger. Mais perso je ne procéderais jamais comme ça pour conditionner l'accès à une page.
     
  5. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 119
    J'aime reçus:
    1
    Ben donne moi le contenu de cette page alors si c'est si simple ... son adresse :

    http://www.az-sante.com/TEST_PROTECT/index.php

    L'objet du post est justement de confirmer ou d'infirmer (mais pas que sur des "à mon avis") la solidité du machin.
     
  6. guicara
    guicara WRInaute passionné
    Inscrit:
    2 Février 2006
    Messages:
    1 558
    J'aime reçus:
    0
    Il va en effet bien y accéder, mais il ne va pas voir le contenu de cette page : soit il va être dirigé vers un formulaire d'authentification, ou soit il peut y avoir une information du genre "Vous n'avez pas accès...".

    A chaque page que l'on veut proposer on regarde si la variable mot de passe est correctement renseignée.

    Après (si utilisation d'un BDD) peut être qu'il faudrait regarder si un visiteur à le droit de renseigner des caractères spéciaux dans le formulaire.

    Donc à mon avis, tout va bien :)
     
  7. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    12 011
    J'aime reçus:
    133
    @guicara : il ne sera pas possible de faire du multipage avec cela, sauf a redemander à chaque changement de page le mot de passe de l'utilisateur, car le tableau $_POST se vide si tu changes de page.

    Donc en effet, pour nuancer ce que j'ai dit, ce type de protection peut s'avérer suffisant (encore que perso, je pense que si aucun script, cms ou autre, du marché ne se base sur ce type de solution il y a bien une raison), mais les possibilités offertes par le truc sont très limitées.

    Avec la session, tu peux sécuriser l'accès à un ensemble de page, afficher des informations spécifiques à l'utilisateur connecté tout au long de sa navigation, etc. Avec ce système, tel quel, tu es limité à une seule page.
     
  8. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 119
    J'aime reçus:
    1
    oui oui mon besoin est de securiser une page ici ou la ... et pour cela je trouve htaccess ou les sessions un peu lourdes à manipuler et donc ce code hyper simple me plait bien (si il offre une protection réelle). Ce qui manifestement semble être le cas :roll:
     
  9. Rod la Kox
    Rod la Kox WRInaute accro
    Inscrit:
    24 Juin 2008
    Messages:
    2 780
    J'aime reçus:
    0
    Bon, je renvoie l'ascenceur... (on se comprend ;-))

    Oui, cette page est protégée si le bout de code est placé en début de le page cachée. Mais pas vraiment en fait...

    Pour le commun des mortels, essayer de passer outre un pass, c'est essayer des mots au pif ou s'il est plus futé lancer un brute force.

    Après, il est clair que pour le mec qui ne veut pas lacher (on se comprend encore ;-)), il pourra passer outre la condition.

    C'est pour cela que je hash les pass en sha256 avec une graine, que je vérifie le nombre d'essais, que je compare l'ip d'origine de connexion, le user agent et l'id de session avec les variable courantes.
     
  10. guicara
    guicara WRInaute passionné
    Inscrit:
    2 Février 2006
    Messages:
    1 558
    J'aime reçus:
    0
    C'est vrai qu'avec les sessions c'est beaucoup plus simple (mais bon après, comme tu l'a dis, tout dépend de l'utilisation).

    Il suffit d'un truc de ce genre sur toutes les pages à protéger :

    Code:
    <?php
    session_start();
    if (!isset($_SESSION['login'])) {
        header ('Location: index.php');
        exit();
    }
    ?>
     
  11. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 119
    J'aime reçus:
    1
    Avec le mot de passe que j'ai mis, il est pas sorti ... :roll: Même en force :mrgreen:

    Comment ?

    Mais bon je vais aller jeter un oeil aux sessions quand même puisque vous semblez tous les aimer pour ce type de truc.
     
Chargement...
Similar Threads - Protéger accès Forum Date
Generateur de .htaccess dans le dossier à protéger Développement d'un site Web ou d'une appli mobile 29 Novembre 2012
Comment faire mon htaccess (ou autre solution) pour protéger dossier? URL Rewriting et .htaccess 5 Mai 2011
Protéger l'accès aux vidéos URL Rewriting et .htaccess 29 Octobre 2009
Protéger acces direct à un repertoire Développement d'un site Web ou d'une appli mobile 23 Janvier 2008
Htaccess : proteger une page juste avec un login URL Rewriting et .htaccess 19 Janvier 2008
.htaccess: protéger un dossier SAUF un fichier chez 1&1 URL Rewriting et .htaccess 17 Juillet 2007
Souçis pour proteger images avec htaccess Problèmes de référencement spécifiques à vos sites 21 Septembre 2006
Protéger un sous-répertoire avec un .htaccess URL Rewriting et .htaccess 16 Août 2005
Protéger l'accès à une vidéo URL Rewriting et .htaccess 13 Août 2005
[Réglé] Protéger la racine du site avec le fichier .htaccess URL Rewriting et .htaccess 13 Mai 2005
Protéger l'accès sous condition(s) URL Rewriting et .htaccess 24 Avril 2005
Protéger son site avec .htaccess Administration d'un site Web 20 Mars 2005
A propos d'essai article htaccess: proteger vos images URL Rewriting et .htaccess 12 Avril 2003
L'antivirus est-il utile pour protéger les données professionnelles? Le café de WebRankInfo 17 Septembre 2020
Protéger mes fichiers d'un lien extérieur URL Rewriting et .htaccess 18 Avril 2016
Protéger un application web (site local) Droit du web (juridique, fiscalité...) 17 Juin 2014
Protéger mon ndd antérieur à une marque qui m'a contacté Droit du web (juridique, fiscalité...) 7 Avril 2014
Comment protéger son site contre les jQuery externes ? Droit du web (juridique, fiscalité...) 19 Octobre 2013
Peut-on protéger son site avec un copyright / huissier ? Droit du web (juridique, fiscalité...) 2 Mai 2013
Comment protéger son site pour pas être recopié ? Développement d'un site Web ou d'une appli mobile 25 Mars 2013