Bonjour, Je suis actuellement en train de coder une petite page en PHP afin de permettre aux utilisateurs qui partagent le serveur avec moi de changer leur mot de passe. Tout d'abord ils accèdent à la page index.php où se trouve le formulaire où ils entrent leur nouveau mot de passe. Ensuite, quand ils cliquent sur "Valider" ça envoie leur nouveau mot de passe en faisant une requête POST sur la page pwd.php afin d'établir une connexion à la base de donnée et ainsi changer leur mot de passe. Sauf que s'ils accèdent à la page pwd.php sans faire de requète POST avant, la page se charge quand même et affiche par exemple "Mot de passe changé." J'aimerai donc savoir si c'est possible de faire en sorte que la page pwd.php soit accessible uniquement lorsqu'il y a eu une requête POST en premier sur cette dernière. pwd.php : <?php // Check // Database informations include ('db.php'); // Variables $username = $_SERVER['PHP_AUTH_USER']; $password = $_SERVER['PHP_AUTH_PW']; $newpassword = $_POST['newpassword']; $confirmnewpassword = $_POST['confirmnewpassword']; // SQL Query if ($newpassword == $confirmnewpassword) { mysql_query("UPDATE 'users' SET 'pwd_rutorrent' = ENCRYPT('$newpassword')' where 'username' = '$username'"); echo "Mot de passe changé."; } else { echo "Erreur: Les mot de passes ne correspondent pas."; } ?>

if(!isset($POST['newpassword'])) { die('Besoin de post'); } // Le reste du code Je ne sait pas ce que fais ENCRYPT mais je doute que ce soit safe ^^.

Salut, à mon avis il faut que tu vérifies avec la fonction php isset que tes variables ne sont pas vides.

ENCRYPT c'est le chiffrement que j'utilise pour chiffrer les mdp dans la bdd. Merci j'ai update mon code, le voici : <?php // UTF-8 encodage header('Content-Type: text/html; charset=utf-8'); // Check if($_SERVER['REQUEST_METHOD'] != "POST") { header("HTTP/1.0 403 Forbidden"); print("Forbidden"); exit(); } // Database informations include ('db.php'); // Variables $username = $_SERVER['PHP_AUTH_USER']; $password = $_SERVER['PHP_AUTH_PW']; $newpassword = $_POST['newpassword']; $confirmnewpassword = $_POST['confirmnewpassword']; // SQL Query if ($newpassword == $confirmnewpassword) { mysql_query("UPDATE users SET pwd_rutorrent=ENCRYPT('$newpassword') WHERE username='$username'"); echo "Mot de passe changé."; } else { echo "Erreur: Les mot de passes ne correspondent pas."; } ?> Du coup, est-ce que ENCRYPT c'est safe ou je devrai plutôt choisir MD5 ou SHA1 ?

http://php.net/manual/fr/function.password-hash.php

BXT qui me fait découvrir des fonctions PHP :O (PHP 5 >= 5.5.0) 5.5.0 requis ! @bmth c'est une base de données à toi ou elle est utilisé par un autre logiciel ?

Espèce de noob, c'est la fonction la plus safe actuellement pour sécuriser un pass 😛

Non c'est Bcrypt qui rends la fonction safe c'est tout 😛. Bref c'est pas le sujet ici ^^.

http://php.net/manual/fr/function.filter-var.php => ça aussi c'est pas mal

@soyuka: C'est une BDD à moi. En fait j'ai plusieurs users ruTorrent sur mon serveur et au lieu de stocker les mot de passes dans un simple .htpasswd je les stocke dans une BDD pour que les users puissent changer leur mot de passes depuis leur navigateur mais aussi pour accéder à d'autres applications sur le serveur en utilisant le même mot de passes...

Tu as bien raison 🙂. Utilise la fonction proposée par BXT, ce sera mieux que ENCRYPT je pense !

Aide PHP

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Aide PHP

bmth

Je débute tout juste en PHP je suis en plein apprentissage, merci adaur je vais jeter un œil là dessus

adaur wrote:En plus, tu fais une requête SQL avec du $_POST, c'est affreux tu ouvres la porte aux injections SQL.

En fait avant d'arriver à la page pwd.php, mes users passe par une simple page HTML où il y a un formulaire où ils doivent entrer leur nouveau mot de passe, et ensuite quand ils cliquent sur "Valider" ça envoie leur nouveau mot de passe à la page pwd.php en faisant une requête POST puis la page se charge de faire le nécessaire en changeant leur mot de passe dans la BDD.
Du coup si utiliser POST ce n'est pas bon que dois-je utiliser ?

bmth

@adaur: Voilà après m'être documenté sur la chose j'ai modifié mon code. Penses-tu qu'une injection est toujours possible ? Et aussi, est ce que mon code est toujours horrible ?

Si oui, que dois-je améliorer de plus ?

Update du code:

<?php

// UTF-8 encodage
header('Content-Type: text/html; charset=utf-8');

// Check
if($_SERVER['REQUEST_METHOD'] != "POST") {
    header("HTTP/1.0 403 Forbidden");
    print("Forbidden");
    exit();
}

// Database informations
include ('includes/db.php');

// Variables
$username = $_SERVER['PHP_AUTH_USER'];
$password =  $mysqli->real_escape_string($_POST['password']);
$confirmpassword =  $mysqli->real_escape_string($_POST['confirmpassword']);

// SQL Query
if ($password == $confirmpassword) {
  $mysqli->query("UPDATE users SET pwd_rutorrent=ENCRYPT('$password') WHERE username='$username'");
    echo "Mot de passe changé.";
} else {
    echo "Erreur: Les mot de passes ne correspondent pas.";
}

?>

soyuka

Je crois qu'on peut aussi falsifier la variable `$username = $_SERVER['PHP_AUTH_USER'];` donc ajoute aussi `real_escape_string` et après ce sera plutôt safe 🙂. Une très bonne explication d'injection sql en php par là.

bmth

Merci pour ta réponse soyuka.
Au départ je voulais le faire, mais comme la variable "$username" n'est à la base pas une interception de requête "POST" contrairement aux variables "$password" et "$confirmpassword", je me suis dis que ça servait à rien puisque l'utilisateur ne peut pas changer le contenu de la variable "$username".
Mais bon je vais quand même le faire si c'est plus safe

bmth

Après réflexion, tu as en effet raison car l'user peut se créer un compte avec une injection sql dans son pseudo

Merci.

« Page précédente