Sécurité admin

le 30/08/2004 à 19:33

re,

tu cré une page login.php
dans cette page tu met le bout de code que je t'est donné tout a l'heure (celui avec le formulaire html de connection, la page que j'ai appellé acceuil_admin.php)

quand l'admin arrive sur le site il va sur login.php et il rentre log et mdp ensuite le traitement verifie si c bon et envoie vers une autre page

Dans les page reserver a l'admin il faut que tu met en haut de chaque page le code qui vérifie si le client est admin et s'il est connecté

<?php

session_start();

if (!isset($_SESSION['login']))

{

//$_SESSION['login'] n'existe pas le visteur est envoyer sur la page de login

header('Location: ./login.php);

exit();

}

else { 

// tu affiche la page resever a l'admin

}

?>

Pour ton erreur c'est simple tu as tu html avant le session_start();. Il ne faut pas de html avant le session_start(); ou un envoie de cookie, sachant que un echo ou u print, print_r() te feras une erreur acr il "envoie" du html au navigateur donc l'entete sera emise ....

résumé
1/session_start()
2/le reste

Il en faut peu pour être heureux !!!!!

Citer ce message

le 31/08/2004 à 12:04

BornToBe

Bon, ça semble commencer à marcher (Dieu, que je suis un galérien!

), quoique j'ai un petit peu changé quelques trucs dans ce que tu m'a proposé(gage d'erreur...?).

Reste quelques questions en suspens:

Où faut-il déclarer la variable de session administrateur?

Comment la cripter? (histoire qu'un gars qui regarde le code source ne se fasse quelque idée malveillante...

)

BTB

Nì heolas go haontìos

Citer ce message

le 31/08/2004 à 12:49

moogli

Salut,

pour déclarer la session administrateur il te utiliser un page de [color=red]LOGIN[/color] comme indiqué sur mon post précédent. dans celle ci tu fait un session start et tu enregistre les données de session. Tu as juste a prendre le model que je t'est donné et a changer les redirections.

quand au codage il y 2 fonctions qui te permet de le faire md5
crypt

C'est deux focntion n'ont pas d'algorithme de décriptage.

exemple avec md5
$pass_code= md5('BTB');
ce qui te donne en resultat une chaine de 32 caractères.

Pour vérifier si le mdp indiquer dans l'input correspondant tu fait if (md5($_POST['pwd'])==$pass_code) { //OK}
else {// mdp incorrect }

pour crypt c'est le meme principe mais il faut ajouter un grain de sel.
Le grain sel c'est par exemple quand je fait
md5($grain.$_POST['pwd']);
si $grain='grain' et $_POST['pwd']='moogli'
la fonction va coder grainmoogli *....... pour d'autre type
exemple avec crypt
$pass_code=crypt('mdp','grain de sel');
if ($passe_code==crypt($_POST['pwd'],'grain de sel')) ....

Pour avoir le mdp crypter de le fait s'afficher sur une page chez toi ensuite tu met en dur le code cripter
exemple de mdp crypter avec md5 :
3d9d76531e506c3766f0120740152ea8
@+

Il en faut peu pour être heureux !!!!!

Citer ce message

le 31/08/2004 à 14:50

BornToBe

Salut!
En fait, j'avais envoyé un post, mais il n'a pas été enregistré