Netophonix - Le forum

Un petit univers pour les aventures, series, sketch en mp3 libre sur le net. Informez-vous et discutez sur toutes les sagas mp3.
Nous sommes actuellement le Jeu 28 Mars 2024, 16:48
Rechercher dans tout le forum :

Le fuseau horaire est réglé sur UTC+1 heure [Heure d’été]


Publier un nouveau sujet Répondre au sujet  [ 35 messages ]  Atteindre la page Précédent  1, 2, 3
Auteur Message
Message Publié : Mar 03 Mars 2009, 14:03 
Répondre en citant
Modérateur
Modérateur
Avatar de l’utilisateur
Masculin 34 ans · 1240 posts
Inscription : 9 Juin 07
A travaillé sur :
On s'fait une bouffe ?, Les terres abandonnées d'Arildis, Les échappés de Berçuel, Jacky et ses voisins, Monos MP3
Bon, puisqu'on est dedans...
KMP a écrit:
Mais j'ai tendance à penser que ce n'est pas la meilleure solution et qu'il vaut mieux inclure directement ses pages plutôt que de passer par du GET ou POST.

Voilà. Pourquoi vous vous embêtez à faire des GET? C'est absolument pas sécurisé! À la limite, passez par un POST!

Mon avis de codeur, c'est de faire une page credentials.php (enfin le nom, c'est pas si important), dans laquelle vous mettez tous les includes dont vous avez besoin. Les mots de passes de session, de base de données, tout ça, mieux vaut ne l'écrire qu'une seule fois, faire un seul script de connection, et vous le blindez de sécurité.

Ajoutez à ceci la sécurité du .htaccess, avec son urlRewritting, et vous devriez tenir un moment ;)

Chroniqueur pour Les Sondiers (émission, vidéos, articles sur les techniques du son et le home studio) : http://www.lessondiers.com

Mes créations (Saga mp3, musique, etc.) : asmoth.net
  • On s'fait une bouffe ?
  • Les échappés de Berçuel
  • Les Terres abandonnées d'Arildis

Mon groupe : Couple in the Attic sur http://coupleintheattic.com


Haut
 Profil  
 
Message Publié : Mar 03 Mars 2009, 14:27 
Répondre en citant
Administrateur
Administrateur
Avatar de l’utilisateur
Masculin 32 ans · 959 posts
Inscription : 24 Juin 07
A travaillé sur :
SynopsLive (créateur et animateur)
Et en passant, vérifiez TOUJOURS ce qui est retourné, tant dans l'URL (GET) que dans les formulaires (POST). Il est trèèès facile de faire une injection SQL ou d'autres trucs "fun" quand on ne fait pas attention...

Image
ImageImage


Haut
 Profil  
 
Message Publié : Mar 03 Mars 2009, 15:30 
Répondre en citant
Créateur
Créateur
Avatar de l’utilisateur
Masculin 34 ans · 1323 posts
Inscription : 5 Mai 07
A travaillé sur :
Divers projets à retrouver sur ma page du NetoWiki.
Ouai enfin faut pas être fin pour ne pas vérifier ce que l'on met à disposition des gens quoi...
:p

Au passage, la vérification du pseudo et du mot de passe, faut la faire en deux temps.
on récupère les informations envoyées.
on récupère, s'il y a, les informations relatives au pseudo (sans mettre le MDP dans la condition SQL).
Enfin on compares les données.

Jdis ça parce qu'il y a une faille SQL (aujuord'hui protègée) qui était très connue.
Elle permettait de se connecter sur n'importe quel compte XD


Haut
 Profil  
 
Message Publié : Mar 03 Mars 2009, 22:04 
Répondre en citant
Créateur
Créateur
Avatar de l’utilisateur
Masculin 29 ans · 451 posts
Inscription : 24 Août 08
A travaillé sur :
Rien de correct
En fait la meilleure solution c'est d'utiliser un CMS :)
Pas de prise de tete , simplicité.


Haut
 Profil  
 
Message Publié : Mar 03 Mars 2009, 23:03 
Répondre en citant
Administrateur
Administrateur
Avatar de l’utilisateur
Masculin 32 ans · 959 posts
Inscription : 24 Juin 07
A travaillé sur :
SynopsLive (créateur et animateur)
TeruHi a écrit:
Au passage, la vérification du pseudo et du mot de passe, faut la faire en deux temps.
on récupère les informations envoyées.
on récupère, s'il y a, les informations relatives au pseudo (sans mettre le MDP dans la condition SQL).
Enfin on compares les données.

Tu connais mysql_real_escape_string ? ;)

Image
ImageImage


Haut
 Profil  
 
Afficher les messages publiés depuis:  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 35 messages ]  Atteindre la page Précédent  1, 2, 3

Le fuseau horaire est réglé sur UTC+1 heure [Heure d’été]


Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas transférer de pièces jointes dans ce forum

Rechercher :
Atteindre:  
cron


Powered by phpBB © 2000-2007 phpBB Group
Traduction française officielle © Maël Soucaze
[ Time : 0.256s | 17 Queries | GZIP : Off ]