Par principe, on ne met jamais un mot de passe dans une URL, ni même dans un cookie.
Idéalement, on transmet même le mot de passe en HTTPS quand on peut.

La raison est que sans HTTPS le mot de passe est envoyé en clair (on peut le voir avec un sniffeur réseau comme Ethereal).

Dans l'URL, non seulement le mot de passe est également transmis en clair, mais en plus il s'enregistre dans l'historique du navigateur !
Autrement dit, même pas besoin d'un logiciel espion pour piquer le mot de passe: il suffirait de regarde l'historique du navigateur.


Il faut donc à tout prix éviter ça.

Même chose pour les cookies: ne jamais stocker le mot de passe de l'utilisateur dans un cookie.
Sinon ça permet de piquer le mot de passe de l'utilsateur simplement en lisant les cookies enregistrés sur disque dur.

Salut,
Un risque probable en cas d'utlisation partagée du poste et du compte : en
recherchant dans le cache on peut trouver facilement ces éléments.
Sinon que ce soit en POST ou GET, les mot de passe qui passent en clair sont
toujours 'espionnable' en écoutant le réseau.
Si tu dois vraiment sécuriser : HTTPS ou SSL/TLS.
Dans le pire des cas, si ton PC à un spyware qui met en place un 'hook' sur
le clavier (enregistrement de toutes les touches dans un fichier) et envoit
régulièrement le fichier à une personne malveillante via le net, pas grand chose
à faire...
A+, crabs ..., I think Slackware sounds better than 'Microsoft,'
-- Patrick Volkerding - founder and maintainer of Slackware

Tonio37, avec un script aussi simple on pourrais ce dire qu'il ne peut pas exister de faille. Et pourtant ci, voila ce que c'est que d'utiliser le script de easyphp. (très mal coder). Malheureusement pour toi on peut le buffer ^^

Oui tu peux faire comme ça, après il te suffit d'étudier les variables $_GET['login'] et $_GET['password'] pour vérifier le login.