Admin sécurisé ou pas ?

Admin sécurisé ou pas ? - PHP - Programmation

Marsh Posté le 08-11-2005 à 19:33:01    

Salut,
 
Voila j'ai créer un petit truc d'admin mais je voudrai savoir si il est sécurisé ou pas :
 

Code :
  1. <?php
  2. session_start();
  4. if($_GET['password_ok'] AND is_numeric($_GET['password_ok']) AND $_GET['password_ok'] == 1 AND md5($_POST['password_ok']) == '22674fbd11be5883b59ae7d8a95c2c16')
  5. {
  6. $_SESSION['password'] = md5($_POST['password_ok']);
  7. header('Location: admin.php');
  8. }
  10. echo'<?xml version="1.0"?>'."\n";
  11. ?>
  12. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
  13. <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr">
  14. <head>
  15. <meta http-equiv="content-Type" content="text/html; charset=windows-1252" />
  16. <meta http-equiv="content-Language" content="fr" />
  17. <title>Tournois.Fr</title>
  18. <link rel="stylesheet" href="style_1.css" type="text/css" />
  19. <link rel="stylesheet" href="style_2.css" type="text/css" />
  20. </head>
  22. <?php
  23. if(isset($_SESSION['password']) AND $_SESSION['password'] == '22674fbd11be5883b59ae7d8a95c2c16')
  24. {
  25. echo 'OK';
  26. }
  28. else
  29. {
  30. echo '<form action="admin.php?password_ok=1" method="post">
  31.  <input type="password" name="password_ok" />
  32.  <input type="submit">
  33. </form>';
  34. }
  36. if($_GET['logout'])
  37. {
  38. session_destroy();
  39. }
  41. echo '<br /><br /><a href="admin.php?logout">Déconnection</a>';
  42. ?>
  44. </div>
  46. </body>
  47. </html>


 
et la session_destroy(); ne se détruit pas :(
 
merci de votre aide !


---------------
“ Un avis d’un homme non avisé ne doit jamais être pris en compte par un homme avisé. ” Jean Plancher, 1810, Taverne « Chez Bonaparte »
Reply

Marsh Posté le 08-11-2005 à 19:33:01   

Reply

Marsh Posté le 08-11-2005 à 19:41:12    

Sais-tu qu'il éxiste des dico de md5 sur le net... J'éspère que ce n'est pas le md5 original car si tu utilises des mots de passe à 3 caractère tel que "qcr".... De plus "n'importe" qui peut passer via un brute force.


---------------
2 * yo = yoyo
Reply

Marsh Posté le 08-11-2005 à 19:53:20    

ahah oui je le sais mais je m'en fou, c'est du test only sa :p
 
le password m'en fou y'a rien pour le moment moi c'est pour l'authentification tu vois
 
si elle est bien quoi


---------------
“ Un avis d’un homme non avisé ne doit jamais être pris en compte par un homme avisé. ” Jean Plancher, 1810, Taverne « Chez Bonaparte »
Reply

Marsh Posté le 09-11-2005 à 02:08:14    

heu, tu commences par
 
if($_GET['password_ok'] AND is_numeric($_GET['password_ok']) AND $_GET['password_ok'] == 1 AND md5($_POST['password_ok']) == '22674fbd11be5883b59ae7d8a95c2c16')
 
les 2 trucs en gras, ça me parait bizarre, je pense que même is_numeric est en trop, je veux dire "==1" c'est pas suffisant ?
 
après, en souligné ; je suis pas un pro du http mais ; c'est pas la même chose (à peu près) post et get donc c'est le md5(1) là ?
 
 
perso, je passerai par une ouverture de session identique pour tous, admin ou pas, qui te donne un md5 pour la session (inscrite en meme temps dans la bd) et ensuite, sur chaque page, tu files le md5 au lieu du login/mdp et tu vois à quoi l'utilisateur à droit ds la bd, cad acces admin ou pas


Message édité par TheRom_S le 09-11-2005 à 02:08:43

---------------
The Rom's, à votre service
Reply

Marsh Posté le 09-11-2005 à 02:44:42    

*chien de mickey*

===1


alors


Message édité par art_dupond le 09-11-2005 à 02:45:08

---------------
oui oui
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed