Protection de site en PHP

nedimimre · 5 Septembre 2006

Bonjour,
Je réalise en ce moment une grosse mise à jour de mon site internet.
Je souhaite réaliser une partie publique ouverte à tous et une partie privée réservées à mes clients.
Comment puis je faire pour mettre un pot de passe sur une partie de mon site?
J'ai essayé de me renseigner et il semble que le PHP soit une bonne alternative.
Cependant n'ayant que de vagues connaissances en PHP je dois avouer qu'un petit coup de pousse genre tuto ou conseils serai le bienvenu.

Cordialement.

chban · 5 Septembre 2006

Se lancer dans le developpement d'une securisation d'espace est une chose pouvant etre assez complexe, surtout avec "de vagues connaissances en PHP" :siffle:

Moi je te conseil plutot de chercher du cote des fichier .htaccess, tu y gagnera du temps et de l'energie...

Captain_X · 5 Septembre 2006

PHP tout seul te servira à rien, si t'as pas une base SQL ...
il est clair qu'un .htaccess dans le dossier privé est plus simple à mettre en place

Anonyme · 5 Septembre 2006

Ca dépend peut être du niveau de protection ? C'est peut-être pas la Nasa, le site ?

Dites-moi si j'ai faux, mais des utilisateurs avec logins passés en variables php, c'est déjà invisible. Faut-y déjà être une bête en hacking pour contrer ça ou il faut juste avoir 8 ans et demi ?

chban · 5 Septembre 2006

PHP tout seul te servira à rien, si t'as pas une base SQL ...

Ca c'est une phrase simple, qui ne sert a rien, qui en plus n'est pas totalement vrai et ne fait pas avancer le post.
Faut faire attention quand meme, on est a la limite du trollisme la...

Il est clair que si nedimimre a 10000 clients a gerer et a identifier sur son site, on oubli le htacess et on sort la base de donnee...
Pour 10 clients, et des pages statiques, un htacess suffira...
Pour 10 clients et un acces avec gestion de droits par exemple, rien ne l'empeche de mettre ranger les donnees de ses clients dans un fichier XML (hors zone http bien evidemment) ce qui avec simplexml rendra la tache plus simple...

Pour en revenir a nos moutons, je doute que nedimimre ai besoin de tout cela !
Donc pour lui, sous reserve que son site soit heberger sur un apache, le .htaccess est la bonne solution !

Captain_X · 5 Septembre 2006

chban a dit:
Ca c'est une phrase simple, qui ne sert a rien, qui en plus n'est pas totalement vrai et ne fait pas avancer le post.
Faut faire attention quand meme, on est a la limite du trollisme la...

Il est clair que si nedimimre a 10000 clients a gerer et a identifier sur son site, on oubli le htacess et on sort la base de donnee...
Pour 10 clients, et des pages statiques, un htacess suffira...
Pour 10 clients et un acces avec gestion de droits par exemple, rien ne l'empeche de mettre ranger les donnees de ses clients dans un fichier XML (hors zone http bien evidemment) ce qui avec simplexml rendra la tache plus simple...

Pour en revenir a nos moutons, je doute que nedimimre ai besoin de tout cela !
Donc pour lui, sous reserve que son site soit heberger sur un apache, le .htaccess est la bonne solution !

C'est exactement ce que je disais, donc ne dis pas de conneries stp ca nous eviteras tous de s'emballer....

Proteger un dossier avec uniquement du PHP sans aucune base SQL, je vois pas l'interet du tout. Donc relis bien mon post, stp et monte pas trop vite sur ton poney tu seras bien gentils

tu es très bon tout le monde l'aura compris, mais tout le monde s'en tape, alors au lieu d'utiliser des expressions éculées tarte comme "trollisme" qui n'a cours que dans les milieux pseudos-geekos-gland, prends un BD de titeuf et tripote toi

nedimimre · 6 Septembre 2006

Bonjour,
Merci de vos réponses hatives. Et s'il vous plait ne vous étripez pas

Je ne vais pas en effet gérer 10000 clients en effet. Je souhaite juste resteindre l'accès à ma banque d'images à mes clients (20 ID max) et à mes confrères (ce qui peut représenter un plus grand nombre de personnes) que je pourrai regrouper sous un ID particulier.
J'ai fait un tour sur des sites de programmation PHP pour débutant et je suis en train de voir si j'arrive à maitriser les tables etc.
Je ne connais pas Htaccess et je vais me renseigner de ce pas.
Je suis hébergé chez 1and1 et n'ai aucune idée s'il sont sur Apache (je vais voir aussi).
Je vous tiens au courant pour ce que ca intéresse.

Merci en tout cas de vos répnses

canibal · 6 Septembre 2006

bof tu prends ton php

tu fais une page de login a la con

tu tests la variable, si c'est bon tu créé une variable de session bidon que tu testeras a chaque ouverture de page pour vérifier que tu dois afficher ou non le contenu...

en gros

tu fais ça http://www.siteduzero.com/tuto-3-102-1-tp-page-protegee-par-mot-de-passe.html

bon là y'a pas la varaible de session mais c'est le principe bize

tatouille · 6 Septembre 2006

Captain_X a dit:
PHP tout seul te servira à rien, si t'as pas une base SQL ...
il est clair qu'un .htaccess dans le dossier privé est plus simple à mettre en place

je fais plein de chose avec php sans Mysql

Captain_X · 6 Septembre 2006

moi aussi

, mais pas la gestion des MdP, ce qui est le cas demandé.

tatouille · 6 Septembre 2006

chban a dit:
Ca c'est une phrase simple, qui ne sert a rien, qui en plus n'est pas totalement vrai et ne fait pas avancer le post.
Faut faire attention quand meme, on est a la limite du trollisme la...

Il est clair que si nedimimre a 10000 clients a gerer et a identifier sur son site, on oubli le htacess et on sort la base de donnee...
Pour 10 clients, et des pages statiques, un htacess suffira...
Pour 10 clients et un acces avec gestion de droits par exemple, rien ne l'empeche de mettre ranger les donnees de ses clients dans un fichier XML (hors zone http bien evidemment) ce qui avec simplexml rendra la tache plus simple...

Pour en revenir a nos moutons, je doute que nedimimre ai besoin de tout cela !
Donc pour lui, sous reserve que son site soit heberger sur un apache, le .htaccess est la bonne solution !

il vaut mieux gérer ca coter conf apache
et fermer les htaccess qui bouffent beaucoup de resources

pour ma part si j'ai un systeme d'authentication user a faire cela se fait avec ldap
et pam ou kerberos car j'aime bien que les users d'une appli soit les memes que sur un reseaux
avec plusieurs services d'acces , mais faut-il etre un peu sérieux

cela s'appele le hot sync et
meme si j'ai deux utilisateurs
c'est évolutif simple et sécurisé

un compte user est synchro avec tout les service que lui offre le réseau
web services ... mail/ftp/partage de fichier ...
:zen:

et avec ta viande de cheval tu as interet à courrir tres vite si on se rencontre un de ces jours
... sinon tu pourras te vanter de pouvoir chanter ausi haut que Farinelli

hein nioub , de meme si tu manques encore de respect au capitain

chban · 7 Septembre 2006

Désolé si j'ai offensé qui que ce soit, et d'autant plus s'il s'agit d'un des dinosaures du forum.:zen:
Désolé de n'être qu'un inculte face a votre si grand savoir.:zen:
Désolé de m'être immiscer dans votre petite vie.:zen:

Le "nioub" (j'adore ce mot) se retire, pas la peine de devenir insultant d'avantage.

En tout cas, mon cher Tatouille, je serais curieux effectivement de te croiser, en vrai... Je pense que les discutions avec toi doivent être passionnément.....creuses !
Tu me fais penser a une citation de ce cher captain justement "tu écrase des fourmis avec un rouleau compresseur" et ce juste pour montrer que tu en as un gros (de rouleau compresseur, évidemment...)

Sur ce, au revoir messieurs les ingenieurs.

Pharmacos · 7 Septembre 2006

Ne le prend pas mal c'est juste la façon de s'exprimer de tatouille !!!

Il voulais juste s'exprimer...........
Donc ne t'inquiète pas il ne t'en tiendra pas rigueur

tatouille · 7 Septembre 2006

chban a dit:
Désolé si j'ai offensé qui que ce soit, et d'autant plus s'il s'agit d'un des dinosaures du forum.:zen:
Désolé de n'être qu'un inculte face a votre si grand savoir.:zen:
Désolé de m'être immiscer dans votre petite vie.:zen:

Le "nioub" (j'adore ce mot) se retire, pas la peine de devenir insultant d'avantage.

En tout cas, mon cher Tatouille, je serais curieux effectivement de te croiser, en vrai... Je pense que les discutions avec toi doivent être passionnément.....creuses !
Tu me fais penser a une citation de ce cher captain justement "tu écrase des fourmis avec un rouleau compresseur" et ce juste pour montrer que tu en as un gros (de rouleau compresseur, évidemment...)

Sur ce, au revoir messieurs les ingenieurs.

la petite nature
deux taquets et il jète l'éponge

pour ce qui est de la viande de cheval je suis née avec 60 chevaux
tu comprendras donc mon point de vue
et je n'écrase pas les fourmis
oui oui si tu savais comme je suis creu

nioub

Captain_X · 7 Septembre 2006

dire que molgow m'a mis un carton rouge pour moins que ca... Je me demande si il m'en veut pas un peu

tatouille · 8 Septembre 2006

Captain_X a dit:
dire que molgow m'a mis un carton rouge pour moins que ca... Je me demande si il m'en veut pas un peu

t'inquiètes j'en ai un aussi

mais bon se vexer pour si peu c'est assez risible

si je me vexais à chaque fois que je me prend une vanne ...

le probleme c'est de prendre ça au premier degré

c'est assez grave d'être aussi fragile psychologiquement

ce n'est qu'un forum mais il a pris ça pour lui aucun recule
donc ca lui ferait du bien de plus trainer sur internet et de s'ahérer la t^te

si il trainait avec ma bande (nanas et mecs) le pauvre il se serait jeter d'un pont
ps les nanas sont les pires

Bloc de code:

Ca d&#233;pend peut &#234;tre du niveau de protection ? C'est peut-&#234;tre pas la Nasa, le site ?

Dites-moi si j'ai faux, mais des utilisateurs avec logins pass&#233;s en variables php, c'est d&#233;j&#224; invisible. Faut-y d&#233;j&#224; &#234;tre une b&#234;te en hacking pour contrer &#231;a ou il faut juste avoir 8 ans et demi ?

et pui s quand je lis ceci
et non mon petit c'est pour cela que l'on a inventé
HTTPS: c'est HTTP+SSL

afin de crypter ses choses visibles et publiques
dire que certains ont marqué "developpeur" sur leur fiche de paye [SIZE=-1]

[/SIZE]
et ca reste un nioub qui se vexe comme un nioub

molgow · 9 Septembre 2006

La discussion peut reprendre un cours normal. Captain_X et tatouille ne peuvent plus poster dans ce sujet.

Et pour rappel, c'est un forum d'entraide. Chacun est libre d'aider ou non. Chacun a le droit de s'attendre a des réponses courtoise et aimable.

sabearts · 18 Septembre 2006

Salut,
si tu souhaites restreindre l'accès à ton site de façon aisée et gérable, avec un login agréable au sein de ta page et non en popup, je ne te conseille pas trop le .htaccess (c'est mon avis, il n'est pas unique) mais plutôt une session php. Il existe une pluie de tutos à ce sujet (et sur la sécurité qui s'y rapporte, va voir www.shiflett.org, à mon avis le meilleur site de sécurité qui soit en la matière).

La session php te permet de loguer un utilisateur, et de continuer à l'identifier par la suite s'il ne se déconnecte pas. Cela se fait en général via un cookie envoyé automatiquement à l'utilisateur, qui contient un identifiant de session aléatoire presque impossible à deviner. Lorsque l'utilisateur arrive sur une autre page, ton serveur vérifie le contenu du cookie. Tu ne dois rien faire pour envoyer ce cookie, php le fait tout seul!

Il te faut initier une session si l'utilisateur a rentré le bon mdp. Cela se fait ainsi, en tout début de page-c'est très important qu'il n'y aie RIEN, pas même un espace, avant la première balise php, qui contient session_start():

<?php
...code qui vérifie que l'utilisateur a bien rentré un login et un mdp valables, supposons un certain jean-claude...
session_start();
$_SESSION['log']="ok";
$_SESSION['nom']="jean-claude" //ceci est à ton choix
?>
...le reste de la page...

où session_start() démarre la session, et où $_SESSION['cequonveut'] est une variable de session dont tu choisis le nom, à laquelle tu assignes une valeur de ton choix. Tu peux entrer plusieurs variables de session. Il s'agit de variables dites superglobales, le serveur les retiendra d'une page à l'autre.
Alors donc la session étant débutée, l'utilisateur a reçu un cookie avec un identifiant de session. Lorsqu'il visite une page dont l'accès est réservé, tu entres, à nouveau au tout début de la page:

<?php session_start();
//et par exemple dans ce cas
if ($_SESSION['log']=="ok"){echo lapageréservée;} else {echo "vous n'êtes pas autorisé à visiter cette page, merci, au-revoir"}
l'avantage est aussi qu'en entrant echo $_SESSION['nom'] le navigateur écrira jean-claude comme par magie car il a retenu la variable.

La session se clot automatiquement lorsque jean-claude éteindra son navigateur ou son mac. Tu peux aussi la clore toi-même avec ceci:
$_SESSION=array(); //détruit les variables de session
session_destroy(); //détruit la session.

Voilà c'est assez simple dans la base, même si on peut faire beaucoup plus complexe et plus sécurisé mais ce n'est pas mon propos ici.

Bon amusement,

S

Johann_mac · 19 Septembre 2006

Un "spécial sécurité" dans le forum de Développez.com : http://www.developpez.net/forums/showthread.php?t=12254

Protection de site en PHP

nedimimre

Membre confirmé

chban

Membre confirmé

Captain_X

Membre expert

Anonyme

Invité

chban

Membre confirmé

Captain_X

Membre expert

nedimimre

Membre confirmé

canibal

Membre actif

tatouille

Membre expert

Captain_X

Membre expert

tatouille

Membre expert

chban

Membre confirmé

Pharmacos

Membre expert

tatouille

Membre expert

Captain_X

Membre expert

tatouille

Membre expert

molgow

Membre expert

sabearts

Membre confirmé

Johann_mac

Membre confirmé

Sujets similaires