Php ça se pirate?? [Fermé]

Signaler
Messages postés
285
Date d'inscription
mardi 6 mars 2012
Statut
Membre
Dernière intervention
21 avril 2016
-
SlyK
Messages postés
878
Date d'inscription
vendredi 11 mars 2011
Statut
Contributeur sécurité
Dernière intervention
5 décembre 2014
-
Bonjour,

Voila j'ai une page sur monsite où on peut modifier tout mon site et elle est sécurisé par un mot de passe,y a t'il des façons de l'ouvrir?

Tout sa en php bien sur?

Y a t'il un moyen que sa arrive entre de mauvaises main?
Merci

17 réponses

Messages postés
23366
Date d'inscription
samedi 22 octobre 2005
Statut
Modérateur
Dernière intervention
10 février 2020
1 995
tout peut se ' pirater ' facilement, maintenant à voir toi de ton côté ce que tu mets ou as mis comme solution(s) 'anti' .... :)
sans moindre détail = ???
Messages postés
285
Date d'inscription
mardi 6 mars 2012
Statut
Membre
Dernière intervention
21 avril 2016
44
<?php
if (isset($_GET['mot_de_passe']) AND $_GET['mot_de_passe'] == "password") // Si le mot de passe est bon
{
// On affiche les codes
?>
<h1>pour modifier le fichier à modifier</h1>
<?php
//Ouverture du fichier en lecture seul
$fichier_a_ouvrir = fopen("a1.php", "r");
// On boucle et tant que l'on n'est pas la fin du fichier ,on continue de le lire.

while(!feof($fichier_a_ouvrir))
{
$contenu_du_fichier .= fgets($fichier_a_ouvrir, 1024);
//Affichage du contenu
//echo nl2br(htmlspecialchars($contenu_du_fichier));
}
//Fermeture du fichier
//fclose ($fichier_a_ouvrir);

?>

<form action="modfile2.php" method="post">
<textarea name="commentaire" rows="30" cols="100"><?php echo htmlspecialchars($contenu_du_fichier); ?></textarea>
<input type="submit" value="Ecrire">
</form>

<h1>pour modifier ce fichiers</h1>


<?php
//Ouverture du fichier en lecture seul
$fichier_a_ouvrir = fopen("index.php", "r");
// On boucle et tant que l'on n'est pas la fin du fichier ,on continue de le lire.

while(!feof($fichier_a_ouvrir))
{
$contenu_du_fichier .= fgets($fichier_a_ouvrir, 1024);
//Affichage du contenu
//echo nl2br(htmlspecialchars($contenu_du_fichier));
}
//Fermeture du fichier
//fclose ($fichier_a_ouvrir);

?>

<form action="modfile2.php" method="post">
<textarea name="commentaire" rows="30" cols="100"><?php echo htmlspecialchars($contenu_du_fichier); ?></textarea>
<input type="submit" value="Ecrire">
</form>

<?php
//Ouverture du fichier en lecture seul
$fichier_a_ouvrir = fopen("modfile2.php", "r");
// On boucle et tant que l'on n'est pas la fin du fichier ,on continue de le lire.

while(!feof($fichier_a_ouvrir))
{
$contenu_du_fichier .= fgets($fichier_a_ouvrir, 1024);
//Affichage du contenu
//echo nl2br(htmlspecialchars($contenu_du_fichier));
}
//Fermeture du fichier
//fclose ($fichier_a_ouvrir);

?>

<form action="modfile2.php" method="post">
<textarea name="commentaire" rows="30" cols="100"><?php echo htmlspecialchars($contenu_du_fichier); ?></textarea>
<input type="submit" value="Ecrire">
</form>

<?php
}
else // Sinon, on affiche un message d'erreur
{
echo '<p>Mot de passe incorrect</p>';
}
?>
Messages postés
245
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
10 mars 2019
53
Bonsoir,

Faire passer un mot de passe par l'URL c'est déjà tout simplement la porte ouverte à tous les abus... et les piratages!
<?php
if (isset($_GET['mot_de_passe']) AND $_GET['mot_de_passe'] == "password") // Si le mot de passe est bon 
{
	// On affiche les codes
?>
<h1>pour modifier le fichier à modifier</h1>
<?php
	//Ouverture du fichier en lecture seul
	$fichier_a_ouvrir = fopen("a1.php", "r");
	// On boucle et tant que l'on n'est pas la fin du fichier, on continue de le lire.

	while(!feof($fichier_a_ouvrir)) {
		$contenu_du_fichier .= fgets($fichier_a_ouvrir, 1024);
		//Affichage du contenu
		//echo nl2br(htmlspecialchars($contenu_du_fichier));
	}
	//Fermeture du fichier
	//fclose ($fichier_a_ouvrir);
?>


Cdlt.
Messages postés
285
Date d'inscription
mardi 6 mars 2012
Statut
Membre
Dernière intervention
21 avril 2016
44
le mot de passe ne passe pas!
pour acceder à cette page je le fait manuellement
j'ecris
http://monsite.fr/a1.php?mot_de_passe=password
je n'ai aucun bouton qui meme a cette page!
donc personne ne le sait!
Messages postés
245
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
10 mars 2019
53
Il n'empêche, je passe derrière toi, je regarde dans l'historique de navigation et les url enregistrées par ton navigateur, je clique sur le lien et j'atterris sur ta page avec le formulaire...
Bon je sais que tu vas me répondre qu'il n'y a que toi qui as accès à ton ordi mais n'empêche, je ne vois donc pas l'utilité de mettre en ligne une page web avec un mot de passe en clair dans l'URL!
En programmation, ça s'appelle tout simplement un non-sens, maintenant tu fais bien ce que tu veux mais ne nous demande pas un avis si tu t'es par avance forgé ta propre idée de sécurité en codage.
Cdlt.
Messages postés
23366
Date d'inscription
samedi 22 octobre 2005
Statut
Modérateur
Dernière intervention
10 février 2020
1 995
+10000:)
"Il n'empêche, je passe derrière toi, je regarde dans l'historique de navigation et les url enregistrées par ton navigateur, je clique sur le lien et j'atterris sur ta page avec le formulaire... "
hé oui ...
Salut,

tout ce qui est faisable en informatique est défaisable.
Quant au piratage c'est plutôt la copie d'oeuvre faite illégalement, on parle plutôt de hacking.
Quoi qu'il en soit si vous parlez de vos fichiers PHP il y a des moyens de les protéger d'un accès publis(comme la réecriture d'URL dans un premier temps).

Si vous parlez de vos mots de passe ce n'est pas PHP qui les stockent(utilisez le champ type password pour éviter que quelqu'un regarde par dessus l'épaule de l'utilisateur et connaisse son code, vous savez il y aura que des étoiles) mais la base de données, dans ce cas une des règles de base :
il faut sécuriser vos scripts afin d'interdire l'insertion SQL (utiliser le formulaire pour envoyer des instructions au serveur de la base de données du genre DELETE *).
Mais bon une base de données a quand même d'autres sécurité(les droits utilisateurs déjà) comme celle de ne pas être accessible directement
Pour cela on utilise PHP(voilà l'intérêt d'utiliser PHP et pourquoi javascript ne pourrait pas correspondre) qui fonctionnes sur serveur et il donc il faut que le hacker puisse accéder au serveur web(ou faire croire qu'il est sur le serveur).
L'utilisation de l'objet et des méthodes private est aussi une sécurité, l'accès à vos codes sources doit aussi être interdit(blocage dans le code, htaccess...).

Bref en gros il n'y a aucun intérêt à hacker votre PHP(sauf pour voler votre code et copier votre programme) mais le PHP qui sert à accéder à la base doit permettre de sécuriser l'accès à celle ci:

https://www.google.fr/search?q=la+sécurité+des+bases+de+données+en+php

Après il reste toujours possible d'accéder directement au serveur web de l'hébergeur et de la base de données, mais là c'est à l'hébergeur de s'occuper de la sécurité.

Bien sûr les pages contenant les identifiants de connexion au serveur de la BDD doivent être sécurisés(et écrit en objet si possible utilisez PDO), donc non téléchargeable par l'utilisateur(ni même apparaître dans l'url du site).

salut

tu pourrais utiliser ce genre de chose :

<?php

if (!(isset($_SERVER['PHP_AUTH_USER']) && isset($_SERVER['PHP_AUTH_PW']) && 
$_SERVER['PHP_AUTH_USER'] == 'toto' && $_SERVER['PHP_AUTH_PW'] == 'password')) {
header('WWW-Authenticate: Basic realm="Secured area"');
header('Status: 401 Unauthorized');
} else {
?>
<html lang="fr"><head><meta charset="utf-8"><title>ma page secrete</title></head>
<body>
<h1>Bienvenu dans l'administration du site</h1>
</body>
</html>
<?php
}
?>



ou un .htaccess
meganium
Messages postés
285
Date d'inscription
mardi 6 mars 2012
Statut
Membre
Dernière intervention
21 avril 2016
44
merci je vais regarder ton code +1
mais le .htaccess bloque la page et meme à moi?
meganium
Messages postés
285
Date d'inscription
mardi 6 mars 2012
Statut
Membre
Dernière intervention
21 avril 2016
44
Mais qu'apporte t'il en plus du mien?
Et que dois-je modifier si je veux l'utiliser
Merci
Messages postés
285
Date d'inscription
mardi 6 mars 2012
Statut
Membre
Dernière intervention
21 avril 2016
44
non mais je demande si ce morceau:
<?php
if (isset($_GET['mot_de_passe']) AND $_GET['mot_de_passe'] == "password") // Si le mot de passe est bon
{
// On affiche les codes
?>

Y a t'il une possibilité qu'un hackeur passe par la et puisse accèder à la page!
Messages postés
285
Date d'inscription
mardi 6 mars 2012
Statut
Membre
Dernière intervention
21 avril 2016
44
Bon

Alors on va faire un truc :
Vous allez sur ma page et vous essayez d'y accéder!
https://www.hostinger.com/free-eol?utm_source=fri&utm_medium=www&utm_campaign=free_eol

Sachant que pour y entrer vous utilisez l'url comme dit au début du sujet!
Messages postés
23366
Date d'inscription
samedi 22 octobre 2005
Statut
Modérateur
Dernière intervention
10 février 2020
1 995
oui !!!
Messages postés
285
Date d'inscription
mardi 6 mars 2012
Statut
Membre
Dernière intervention
21 avril 2016
44
et comment?

va attaquer ma page en essayant toute les combinaisons?
Messages postés
6709
Date d'inscription
mercredi 13 avril 2011
Statut
Membre
Dernière intervention
28 septembre 2015
1 234
Bonjour,

Pourquoi vous faites compliqué?

Vous utilisez un bon éditeur de code source,
Vous transmettez ensuite en FTP les pages modifiées?

A mon sens, vous laissez sur votre site une "faille" potentielle. Même si le risque est minime, il existe.

A+
Messages postés
878
Date d'inscription
vendredi 11 mars 2011
Statut
Contributeur sécurité
Dernière intervention
5 décembre 2014
139
Hello,

Si tu continues ainsi je vais fermer cette discussion..

Tu viens demander de l'aide sur un forum public, avec des gens qui t'aident bénévolement. La moindre des choses et de les respectés.

Vu ton niveau en développement Web, je te conseil de prendre sur toi et de faire confiance aux commentaires des protagonistes de cette discussion.

Donc OUI, faire passer le mot-de-passe en variable GET est un problème de sécurité. Après, si tu t'en fou, on n'y peut rien. On répond simplement à ta question.


@+
Messages postés
285
Date d'inscription
mardi 6 mars 2012
Statut
Membre
Dernière intervention
21 avril 2016
44
Je croix que vous n'avez rien compris mais ccm ne sert à rien!
je demande si sa ce pirate le php pas si mon code est sécurisé!

fin de la discut ;je vais ailleurs
Messages postés
878
Date d'inscription
vendredi 11 mars 2011
Statut
Contributeur sécurité
Dernière intervention
5 décembre 2014
139
Re !

Sauf que tu ne comprends pas que ta question ne veut strictement rien dire.

On ne pirate pas un langage, on pirate un système... Oui ton système peut-être piraté, tout simplement car aucun système n'est parfait.

Bref... Si tu penses que CCM ne sert à rien, je te laisse passer ton chemin et aller recevoir les mêmes réponses que nous t'avons donné ailleurs.


@+
Messages postés
285
Date d'inscription
mardi 6 mars 2012
Statut
Membre
Dernière intervention
21 avril 2016
44
sa c'est bizarre,il n'y a plus personne,bizarre quand je demande quelque chose autre que critiquer,plus personne!
Utilisateur anonyme
heu ton site a une erreur interne. On te dit que ce que tu fais n'est pas sécurisé !

on te donne des solutions....tu nous demande de te pirater

pourquoi poser des questions, si tu nous crois pas.

Tu nous demande de dire en publique les failles de sécurité de ton site.

https://www.commentcamarche.net/forum/affich-29757749-php-ca-se-pirate#1
meganium
Messages postés
285
Date d'inscription
mardi 6 mars 2012
Statut
Membre
Dernière intervention
21 avril 2016
44
j'ai mis un .htaccess
vous me dites que c'est pas sécurisé mais personne n'a acceder à l'espace admin *sifle*