Je dois réaliser un site en php avec sécurité d'accès celui-ci hébergera des
données sensibles et l'accès n'en sera autorisé qu'à certaines personnes
ayant un login et un mot de passe.
Je vais utliser un répertoire protégé par .htaccess et ce bout de programme
après avoir récupérer l'identifiant et le mot de passe saisie dans la
fenêtre .htaccess.
$login = trim(htmlspecialchars(addslashes($login))); # Parsing du login
$password = trim(htmlspecialchars(addslashes($password))); # parsing du
password
if( ( strlen($login)!=0) && (strlen($password)!=0) ) {
# REQUETE MYSQL
else {
echo "fuck you :) \n";
}
Y a t il d'autres choses à faire pour améliorer la sécurité ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
P'tit Marcel
Je dois réaliser un site en php avec sécurité d'accès celui-ci hébergera des données sensibles et l'accès n'en sera autorisé qu'à certaines personnes ayant un login et un mot de passe.
$login = trim(htmlspecialchars(addslashes($login))); # Parsing du login $password = trim(htmlspecialchars(addslashes($password))); # parsing du password
le addslashes n'est à faire que si php n'a pas déjà échappé les guillemets simples. Vérifie d'abord la valeur de magic_quotes_gpc. Par ailleurs, l'utilité du addslashes dépend de ta requête mysql
le htmlspecialchars ne sert à rien, et le trim probablement aussi (mais tout ça ne mange pas de pain).
if( ( strlen($login)!=0) && (strlen($password)!=0) ) { # REQUETE MYSQL
Cette requête est le noeud gordien. Si elle est mal écrite, alors ton script sera une passoire. les variables $login et $password doiventêtre entre guillemets simples, la valeur lue du login doit être égale à $login, etc.
else { echo "fuck you :) n"; }
une tentative d'intrusion est souvent par programme. comment vas-tu ralentir/bloquer ses essais multiples ?
Y a t il d'autres choses à faire pour améliorer la sécurité ?
- une sécurité par login/mot de passe est insuffisante pour protéger des données véritablement "sensibles" - veille à ce que ces données ne soient pas accessibles en dehors de ton script (sécurisation des autres scripts, d' Apache et de ses logs, de MySQL, de ftp/scp, du serveur en général) - consulte la somme galletine : http://www.saphirtech.com/securite_web_dynamique.pdf
eça -- P'tit Marcel stats sur les forums modérés http://www.centrale-lyon.org/ng/
Je dois réaliser un site en php avec sécurité d'accès celui-ci hébergera des
données sensibles et l'accès n'en sera autorisé qu'à certaines personnes
ayant un login et un mot de passe.
$login = trim(htmlspecialchars(addslashes($login))); # Parsing du login
$password = trim(htmlspecialchars(addslashes($password))); # parsing du
password
le addslashes n'est à faire que si php n'a pas déjà échappé les
guillemets simples. Vérifie d'abord la valeur de magic_quotes_gpc. Par
ailleurs, l'utilité du addslashes dépend de ta requête mysql
le htmlspecialchars ne sert à rien, et le trim probablement aussi (mais
tout ça ne mange pas de pain).
if( ( strlen($login)!=0) && (strlen($password)!=0) ) {
# REQUETE MYSQL
Cette requête est le noeud gordien. Si elle est mal écrite, alors ton
script sera une passoire. les variables $login et $password doiventêtre
entre guillemets simples, la valeur lue du login doit être égale à
$login, etc.
else {
echo "fuck you :) n";
}
une tentative d'intrusion est souvent par programme. comment vas-tu
ralentir/bloquer ses essais multiples ?
Y a t il d'autres choses à faire pour améliorer la sécurité ?
- une sécurité par login/mot de passe est insuffisante pour protéger des
données véritablement "sensibles"
- veille à ce que ces données ne soient pas accessibles en dehors de ton
script (sécurisation des autres scripts, d' Apache et de ses logs, de
MySQL, de ftp/scp, du serveur en général)
- consulte la somme galletine :
http://www.saphirtech.com/securite_web_dynamique.pdf
eça
--
P'tit Marcel
stats sur les forums modérés http://www.centrale-lyon.org/ng/
Je dois réaliser un site en php avec sécurité d'accès celui-ci hébergera des données sensibles et l'accès n'en sera autorisé qu'à certaines personnes ayant un login et un mot de passe.
$login = trim(htmlspecialchars(addslashes($login))); # Parsing du login $password = trim(htmlspecialchars(addslashes($password))); # parsing du password
le addslashes n'est à faire que si php n'a pas déjà échappé les guillemets simples. Vérifie d'abord la valeur de magic_quotes_gpc. Par ailleurs, l'utilité du addslashes dépend de ta requête mysql
le htmlspecialchars ne sert à rien, et le trim probablement aussi (mais tout ça ne mange pas de pain).
if( ( strlen($login)!=0) && (strlen($password)!=0) ) { # REQUETE MYSQL
Cette requête est le noeud gordien. Si elle est mal écrite, alors ton script sera une passoire. les variables $login et $password doiventêtre entre guillemets simples, la valeur lue du login doit être égale à $login, etc.
else { echo "fuck you :) n"; }
une tentative d'intrusion est souvent par programme. comment vas-tu ralentir/bloquer ses essais multiples ?
Y a t il d'autres choses à faire pour améliorer la sécurité ?
- une sécurité par login/mot de passe est insuffisante pour protéger des données véritablement "sensibles" - veille à ce que ces données ne soient pas accessibles en dehors de ton script (sécurisation des autres scripts, d' Apache et de ses logs, de MySQL, de ftp/scp, du serveur en général) - consulte la somme galletine : http://www.saphirtech.com/securite_web_dynamique.pdf
eça -- P'tit Marcel stats sur les forums modérés http://www.centrale-lyon.org/ng/
