Aide PHP

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Aide PHP

bmth

Bonjour,
Je suis actuellement en train de coder une petite page en PHP afin de permettre aux utilisateurs qui partagent le serveur avec moi de changer leur mot de passe.
Tout d'abord ils accèdent à la page index.php où se trouve le formulaire où ils entrent leur nouveau mot de passe.
Ensuite, quand ils cliquent sur "Valider" ça envoie leur nouveau mot de passe en faisant une requête POST sur la page pwd.php afin d'établir une connexion à la base de donnée et ainsi changer leur mot de passe.
Sauf que s'ils accèdent à la page pwd.php sans faire de requète POST avant, la page se charge quand même et affiche par exemple "Mot de passe changé."
J'aimerai donc savoir si c'est possible de faire en sorte que la page pwd.php soit accessible uniquement lorsqu'il y a eu une requête POST en premier sur cette dernière.

pwd.php :

<?php

// Check


// Database informations
include ('db.php');

// Variables
$username = $_SERVER['PHP_AUTH_USER'];
$password = $_SERVER['PHP_AUTH_PW'];
$newpassword = $_POST['newpassword'];
$confirmnewpassword = $_POST['confirmnewpassword'];

// SQL Query
if ($newpassword == $confirmnewpassword) {
    mysql_query("UPDATE 'users' SET 'pwd_rutorrent' = ENCRYPT('$newpassword')' where 'username' = '$username'");
    echo "Mot de passe changé.";
} else {
    echo "Erreur: Les mot de passes ne correspondent pas.";
}

?>

soyuka

if(!isset($POST['newpassword'])) {
    die('Besoin de post');
}

// Le reste du code

Je ne sait pas ce que fais ENCRYPT mais je doute que ce soit safe ^^.

nami007

Salut,
à mon avis il faut que tu vérifies avec la fonction php isset que tes variables ne sont pas vides.

bmth

ENCRYPT c'est le chiffrement que j'utilise pour chiffrer les mdp dans la bdd.
Merci j'ai update mon code, le voici :

<?php

// UTF-8 encodage
header('Content-Type: text/html; charset=utf-8');

// Check
if($_SERVER['REQUEST_METHOD'] != "POST") {
    header("HTTP/1.0 403 Forbidden");
    print("Forbidden");
    exit();
}

// Database informations
include ('db.php');

// Variables
$username = $_SERVER['PHP_AUTH_USER'];
$password = $_SERVER['PHP_AUTH_PW'];
$newpassword = $_POST['newpassword'];
$confirmnewpassword = $_POST['confirmnewpassword'];

// SQL Query
if ($newpassword == $confirmnewpassword) {
    mysql_query("UPDATE users SET pwd_rutorrent=ENCRYPT('$newpassword') WHERE username='$username'");
    echo "Mot de passe changé.";
} else {
    echo "Erreur: Les mot de passes ne correspondent pas.";
}

?>

Du coup, est-ce que ENCRYPT c'est safe ou je devrai plutôt choisir MD5 ou SHA1 ?

BXT

http://php.net/manual/fr/function.password-hash.php

soyuka

BXT qui me fait découvrir des fonctions PHP :O

(PHP 5 >= 5.5.0)

5.5.0 requis !

@bmth c'est une base de données à toi ou elle est utilisé par un autre logiciel ?

BXT

Espèce de noob, c'est la fonction la plus safe actuellement pour sécuriser un pass 😛

soyuka

Non c'est Bcrypt qui rends la fonction safe c'est tout 😛. Bref c'est pas le sujet ici ^^.

Gravefield

http://php.net/manual/fr/function.filter-var.php => ça aussi c'est pas mal

bmth

@soyuka: C'est une BDD à moi. En fait j'ai plusieurs users ruTorrent sur mon serveur et au lieu de stocker les mot de passes dans un simple .htpasswd je les stocke dans une BDD pour que les users puissent changer leur mot de passes depuis leur navigateur mais aussi pour accéder à d'autres applications sur le serveur en utilisant le même mot de passes...

soyuka

Tu as bien raison 🙂. Utilise la fonction proposée par BXT, ce sera mieux que ENCRYPT je pense !

bmth

J'ai testé la fonction password_hash et j'ai malheureusement cette erreur :

Call to undefined function password_hash() in /home/bmth/pwd.php

Version PHP sur le serveur : 5.4.42-1~dotdeb+7.4

BXT

soyuka wrote:(PHP 5 >= 5.5.0)

Faut lire un peu..

bmth

Je me disais aussi

hydrog3n

Heuuuu ENCRYPT() C'est une fonction SQL pas php enfin je dis ça je dis rien hein...

soyuka

@hydrog3n personne n'a dit le contraire il me semble ^^.

bmth

@soyuka: Donc comme je peux pas utiliser PHP pour générer un hash, si je garde ENCRYPT c'est safe ?

soyuka

Tu ne peux pas mettre à jour php ?

Sinon tu as un script de compatibilité : https://github.com/ircmaxell/password_compat

D'autres méthodes pour utiliser bcrypt avec une version de php < 5.4.4 : http://stackoverflow.com/a/6337021/1145578

D'après la documentation mysql ENCRYPT utilise crypt donc je pense ca reste suffisant pour tes besoins. Tu peux peut-être passer un salt en deuxième argument pour augmenter la sécurité.

bmth

Je vais resté sur du ENCRYPT alors, je ne vais pas compliquer la tâche sachant que mon infra n'est pas si grande que ça et j'ai que de simple users ruTorrent dessus ^^

adaur

Salut,

Ton code est horrible... Le mysql_, ça fait des années qu'on doit s'en débarrasser, au profit de mysqli_ ou PDO: https://openclassrooms.com/courses/les-transactions-avec-mysql-et-pdo

En plus, tu fais une requête SQL avec du $_POST, c'est affreux tu ouvres la porte aux injections SQL.

Essaie de te documenter un peu sur la sécurité de base

Page suivante »