La Faille Include

[Asmoth]

Bon, puisqu'on est dedans...

Mais j'ai tendance à penser que ce n'est pas la meilleure solution et qu'il vaut mieux inclure directement ses pages plutôt que de passer par du GET ou POST.

Voilà. Pourquoi vous vous embêtez à faire des GET? C'est absolument pas sécurisé! À la limite, passez par un POST!

Mon avis de codeur, c'est de faire une page credentials.php (enfin le nom, c'est pas si important), dans laquelle vous mettez tous les includes dont vous avez besoin. Les mots de passes de session, de base de données, tout ça, mieux vaut ne l'écrire qu'une seule fois, faire un seul script de connection, et vous le blindez de sécurité.

Ajoutez à ceci la sécurité du .htaccess, avec son urlRewritting, et vous devriez tenir un moment

[Signez]

Et en passant, vérifiez TOUJOURS ce qui est retourné, tant dans l'URL (GET) que dans les formulaires (POST). Il est trèèès facile de faire une injection SQL ou d'autres trucs "fun" quand on ne fait pas attention...

[TeruHi]

Ouai enfin faut pas être fin pour ne pas vérifier ce que l'on met à disposition des gens quoi...


Au passage, la vérification du pseudo et du mot de passe, faut la faire en deux temps.
on récupère les informations envoyées.
on récupère, s'il y a, les informations relatives au pseudo (sans mettre le MDP dans la condition SQL).
Enfin on compares les données.

Jdis ça parce qu'il y a une faille SQL (aujuord'hui protègée) qui était très connue.
Elle permettait de se connecter sur n'importe quel compte XD

[Verdey]

En fait la meilleure solution c'est d'utiliser un CMS
Pas de prise de tete , simplicité.

[Signez]

Au passage, la vérification du pseudo et du mot de passe, faut la faire en deux temps.
on récupère les informations envoyées.
on récupère, s'il y a, les informations relatives au pseudo (sans mettre le MDP dans la condition SQL).
Enfin on compares les données.

Tu connais mysql_real_escape_string ?