Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Webmastering

Session php non-securisé

Dernière réponse le 22 mai 2009 à 16:02:20 hack_net, le 8 mai 2008 à 12:07:59

Signaler ce message aux modérateurs

Bonjour,

Voila, le probléme est simple. J'ai crée une petite partie membre. Une foi le nom et le mot de passe rentré, les visiteurs sont redirigés de index.php à index2.php.
J'ai également crée un boutton deconexion, qui a pour fonction de détruire la session.

Seulement voila, quand on tape directement dans le navigateur 'index2.php', la page s'affiche ! Or, il faudrait d'abord une identification. J'ai donc rajouté un petit script php au début de la page, mais il n'a pas l'air de fonctionner. Etant débutant en PHP, je demande votre aide.

Voici les codes sources des pages.

index.php :

<?php
session_start(); // On démarre la session AVANT toute chose

// On s'amuse à créer quelques variables de session :
/* on récupère le nom dans le tableau POST des données du form */
$name=$_POST['name'];

$_SESSION['name'] = $name; 
$_SESSION['mot_de_passe'] = $mot_de_passe;

// Maintenant que le session_start est fait, on peut taper du code HTML
?>
<?php
	if (isset($_POST['mot_de_passe'])) 
		{
   		 $mot_de_passe = $_POST['mot_de_passe'];
		}
	else 
		{
   		 $mot_de_passe = ""; 
		}

	if ($mot_de_passe == "uvjkabvw78") 
		{
		@header("Location: index2_test.php");
		}

	elseif ($mot_de_passe == "--t7xdmlxdse2++") 
		{
		@header("Location: admin.php");
		}
	
	else 
		{
		
			?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
 <head>
 <title>Connexion au site</title>
 </head>
 <body>
 <center>
 <br><br><br><br>
 <h1>BIENVENUE !</h1>
 <form action="index1_test.php" method="post">
 <table width="225" border="1" cellpadding="3">
 <tr><td colspan="2"><center><font
 size="+2"><b>Connexion</b></font></center></td></tr>
 <tr><td>Prénom : </td><td><input type="text" name="name"></td></tr>
 <tr><td>Mot de Passe : </td><td><input type="password" name="mot_de_passe" /> </td></tr>
 <tr><td colspan="2" align="center"><input type="submit" value="Valider" /></td></tr>
 </table>
 </form>
 </center>
 </body>
 </html> 
			<?php
		}
?>

index2.php :

<?php
session_start(); // On démarre la session AVANT toute chose
if ($_SESSION['mot_de_passe'] = "")
{
 @header("Location: index.php");
}
else
{
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<title>Bienvenue !</title>
</head>
<body>
<div class="element_logo" id="logo"><a href="/"><img src="images/bandeau_haut.jpg" height="100" width="795"></a></div>
<div id="menu_h">
<a href="logout.php">Déconexion</a>
</div>
<div id="corps">
<h1>Bienvenue <?php echo $_SESSION['name']; ?>!</h1>
</div>
</body>
</html>
<?php
}
?>

logout.php :

<?php
// you have to open the session first
session_start();

//remove all the variables in the session
session_unset();

// destroy the session
session_destroy();
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Document sans titre</title>
</head>
<body>
<script language="javascript">
{
 document.location='index.php'
}
</script>
</body>
</html>

Je précise que tout le reste marche.
Derniére chose : Voila ce que le navigateur me met sur index.php en bas de page =

Warning: Unknown: Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively. in Unknown on line 0

Merci d'avance pour votre aide...
Bientot mon site: , site consacré à l'informatique pour tous !
-----------------------------------------------------------------------------------------------------
"S'il on payait un impôt sur la connerie, alors l'état s'auto-financerait"
"La colère envers autrui reflète toujours la tristesse interne"
"La théorie, c'est quand on sait tout mais que rien ne marche, et la pratique c'est quand tout marche mais qu'on ne sait pas pourquoi."

Configuration: Windows XP
Firefox 2.0.0.14

Posez votre question Répondre

je suis en galère, le 8 mai 2008 à 13:29:56

Je suis de t'aider, tu es d'accord ?

Répondre à je suis en galère

hack_net, le 8 mai 2008 à 13:51:03

Oui, tout est bon a prendre :) Bientot mon site: , site consacré à l'informatique pour tous !
-----------------------------------------------------------------------------------------------------
"S'il on payait un impôt sur la connerie, alors l'état s'auto-financerait"
"La colère envers autrui reflète toujours la tristesse interne"
"La théorie, c'est quand on sait tout mais que rien ne marche, et la pratique c'est quand tout marche mais qu'on ne sait pas pourquoi."

Répondre à hack_net

je suis en galère, le 8 mai 2008 à 13:56:21

Bon, quest ce- que tu veux comme page lorsque le visiteur tape sur le navigateur index2.php?

Répondre à je suis en galère

hack_net, le 8 mai 2008 à 13:59:43

Je souhaiterais qu'il soit redirigé ver index.php, car en entrant directement index2.php, il n'a pas fournis de mot de passe. C'est donc une grosse faille que je souhaiterais éviter !

Merci Bientot mon site: , site consacré à l'informatique pour tous !
-----------------------------------------------------------------------------------------------------
"S'il on payait un impôt sur la connerie, alors l'état s'auto-financerait"
"La colère envers autrui reflète toujours la tristesse interne"
"La théorie, c'est quand on sait tout mais que rien ne marche, et la pratique c'est quand tout marche mais qu'on ne sait pas pourquoi."

Répondre à hack_net

je suis en galère, le 8 mai 2008 à 14:12:46

Ok c'est facile, dans ta page index2.php tu met le code:
<?php
session_start();

if ($_SESSION['mot_de_passe'] = "")
{header("Location: index.php");}
?>

et dans logout.php, tape tout simplement ce code:

<?php
session_start();

session_destroy;
header("Location: index.php");
?>

Un conseil en plus pour tes headers, c'est mieux de mettre des adresse absolues, donc header("Location: http://localhost/..../index.php");
PS: j'ai mis les points de suspensions dans ce header, car c'est toi seul qui connait l'adresse complète.

Essai-le, déconnecte toi, puis tapes sur le navigateur index2.php, et dis moi si çamarche .

a+

Répondre à je suis en galère

je suis en galère, le 8 mai 2008 à 14:15:22

Excuse il ya une erreur sur mon code, et sur le tient:

<?php
session_start();

if ($_SESSION['mot_de_passe'] == "")
{header("Location: index.php");}
?>

En fait au lieu du simple égal, tu dois metrre un double égal
et sur ton script, il y a cet erreur.

Répondre à je suis en galère

hack_net, le 8 mai 2008 à 14:17:23

Non, snif, je peut toujours accéder à index2.php sans m'identifié...

Merci quand même de ta réponse Bientot mon site: , site consacré à l'informatique pour tous !
-----------------------------------------------------------------------------------------------------
"S'il on payait un impôt sur la connerie, alors l'état s'auto-financerait"
"La colère envers autrui reflète toujours la tristesse interne"
"La théorie, c'est quand on sait tout mais que rien ne marche, et la pratique c'est quand tout marche mais qu'on ne sait pas pourquoi."

Répondre à hack_net

je suis en galère, le 8 mai 2008 à 14:23:29

Méme avec le double égal ? car t'avais fait une faute à index2.php, t'a mis un simple égal au lieu du double égal:

<?php
session_start();

if ($_SESSION['mot_de_passe'] == "")
{header("Location: index.php");}
?>

Répondre à je suis en galère

je suis en galère, le 8 mai 2008 à 14:25:12

Il faut que tu met un double égal == au lieu du simple égal =, et dis moi si ça marche

Répondre à je suis en galère

hack_net, le 8 mai 2008 à 14:37:08

Si ca amrche, merci :)

En fait, ce qui c'est passé, c'est qu'on a posté nos deux message avec un intervale de quelques secondes, donc en disant "non snif", je répondais un précédent message et non à la correction...

Merci beaucoup en tout cas...

Il reste toujours un probléme, celui du message affiché par le navigateur en bas de index.php :

"Warning: Unknown: Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively. in Unknown on line 0"

Merci pour vos réponses... Bientot mon site: , site consacré à l'informatique pour tous !
-----------------------------------------------------------------------------------------------------
"S'il on payait un impôt sur la connerie, alors l'état s'auto-financerait"
"La colère envers autrui reflète toujours la tristesse interne"
"La théorie, c'est quand on sait tout mais que rien ne marche, et la pratique c'est quand tout marche mais qu'on ne sait pas pourquoi."

Répondre à hack_net

je suis en galère, le 8 mai 2008 à 15:07:49

Je n'ai jamais eu affaire à ce problème, donc je ne pourrais pas t'aider efficacement.

Mais, vu ton code de index.php, je pense que le problème viens de :

$name=$_POST['name'];
$_SESSION['name'] = $name;

En effet, dès le départ $_SESSION['name'] = $name;
or $name est égal à $_POST['name']
mais $_POST['name'] est égal à rien car le visiteur n'a méme pas encore appuyé sur le boutton submit
Donc le problème, c'est que tu as affecté une variable indéfinie (càd sans valeur) à $_SESSION['name'] , alors que le visiteur n'a pas encore appuyé sur le boutton submit.

Donc dans index.php, essaie ce code:

<?php
session_start(); // On démarre la session AVANT toute chose

if($_POST['name']!="")
{
$_SESSION['name'] = $name;
$_SESSION['mot_de_passe'] = $mot_de_passe;
}

/*En effet $_SESSION['name'] sera égal à $name et $_SESSION['mot_de_passe'] sera égal à $mot_de_passe*/
/*que si $_POST['name'] n'est pas égal à rien*/
// Maintenant que le session_start est fait, on peut taper du code HTML

?>

Un autre conseil aussi:
tjrs dans index.php, remplace

if (isset($_POST['mot_de_passe']))

par if ($_POST['mot_de_passe']!="")

car parfois,isset est compliqué à utiliser

Bon essaie ces code mais je ne te garanti pas du résultat.
Mais après dis moi si ça marche.

Répondre à je suis en galère

hack_net, le 8 mai 2008 à 17:14:39

Snif, je suis modit :(

En effet, le message ne s'affiche plus sur la page :), mais lorsque l'on clic, on obtien sur fond blanc ce message :

"Warning: Unknown: Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively. in Unknown on line 0"

Quelqu'un as-t-il une solution ?

Merci d'avance... Bientot mon site: , site consacré à l'informatique pour tous !
-----------------------------------------------------------------------------------------------------
"S'il on payait un impôt sur la connerie, alors l'état s'auto-financerait"
"La colère envers autrui reflète toujours la tristesse interne"
"La théorie, c'est quand on sait tout mais que rien ne marche, et la pratique c'est quand tout marche mais qu'on ne sait pas pourquoi."

Répondre à hack_net

hack_net, le 12 mai 2008 à 23:18:52

UP :) Bientot mon site: , site consacré à l'informatique pour tous !
-----------------------------------------------------------------------------------------------------
"S'il on payait un impôt sur la connerie, alors l'état s'auto-financerait"
"La colère envers autrui reflète toujours la tristesse interne"
"La théorie, c'est quand on sait tout mais que rien ne marche, et la pratique c'est quand tout marche mais qu'on ne sait pas pourquoi."

Répondre à hack_net

hack_net, le 13 mai 2008 à 00:16:07

Répondre à hack_net

hack_net, le 13 mai 2008 à 00:22:00

Up :) Bientot mon site: , site consacré à l'informatique pour tous !
-----------------------------------------------------------------------------------------------------
"S'il on payait un impôt sur la connerie, alors l'état s'auto-financerait"
"La colère envers autrui reflète toujours la tristesse interne"
"La théorie, c'est quand on sait tout mais que rien ne marche, et la pratique c'est quand tout marche mais qu'on ne sait pas pourquoi."

Répondre à hack_net

hack_net, le 13 mai 2008 à 19:56:47

UP ! Bientot mon site: , site consacré à l'informatique pour tous !
-----------------------------------------------------------------------------------------------------
"S'il on payait un impôt sur la connerie, alors l'état s'auto-financerait"
"La colère envers autrui reflète toujours la tristesse interne"
"La théorie, c'est quand on sait tout mais que rien ne marche, et la pratique c'est quand tout marche mais qu'on ne sait pas pourquoi."

Répondre à hack_net

S.lipkno.t, le 21 avr 2009 à 12:37:33

Il semblerait que tu soit sour php 4.x.x et que register_globals soit a 1, donc ton script est vulnérable au attaque par fixation de session, met register_globals à 0 ou l'option debug a la valeur indiqué dans le message d'erreur ;)

Répondre à S.lipkno.t

cyrilherve, le 22 mai 2009 à 16:02:20

Je rencontre le mm probleme,,, comment je vais donc modifier ces valeurs(register_globals) vu que mon site est chez un hebergeur ?
cdlt

Répondre à cyrilherve

Posez votre question Répondre