+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Connexion (/showthread.php?tid=2067)
Pages :
1
2
RE: Connexion - Zamentur - 27-11-2007
c'est mieux mais à moins que magic quote soit activé tu es toujours vulenrable à l'apostrophe...
Enfin disons que le script est plus élaborer et montre de nouvelle chose à optimiser:
par exemple je te conseil de séparer la vue, du traitement.
Dans ce sens tu devrais d'abord mettre ton traitement puis ensuite afficher la page html et pas tout melanger
Ca devrais te permetre d'afficher au bon endroit ta balise meta de redirection. Et meme mieux d'utiliser header('location: ton url absolue');
Et meme remarque qu'avant tu gagnerais à centraliser ta connexion à la base de donnée (par exemple en faisaint un include,ou en appelant une fonction (ou une classe))
RE: Connexion - Berz - 27-11-2007
Ok merci beaucoup pour ces conseils mais encore 2 questions et je pense que je vais arrêter ^^ Alors comment se protéger des apostrophes ? Et faut-il que sur chaque page de mon site je fasse un contrôle du pseudo et du mdp ou avec SESSION c'est assez sécuriser ??
RE: Connexion - pascal - 27-11-2007
Berz a écrit :Ok merci beaucoup pour ces conseils mais encore 2 questions et je pense que je vais arrêter ^^ Alors comment se protéger des apostrophes ? Et faut-il que sur chaque page de mon site je fasse un contrôle du pseudo et du mdp ou avec SESSION c'est assez sécuriser ??
il faut potasser les sites pour apprendre le PHP, lire des tutoriaux sur la sécurité et prendre son temps. bref, il faut développer son autonomie pour ariver à quelquechose.
alors, faut-il contrôler pseudo et mot de passe à chaque page ?
bien sûr que non. c'est comme si on controlait le passeport au passage de la frontière puis au moindre déplacement dans le pays : c'est une perte de temps pour tout le monde.
le principe d'une connexion, c'est de contrôler pseudo/mot de passe à la connexion puis d'enregistrer l'état "connecté" en session. ensuite on vérifie juste si on est connecté en vérifiant cet état, pas en revérifiant login + pass. c'est le B.A.BA de la connexion.
A+
Pascal
RE: Connexion - Zamentur - 28-11-2007
pour les apostrophe j'ai donné dans les messages precedents la refernce vers htmlspecialchar() la reponse y est!
Sinon tu as une alternative avec addslashes()
RE: Connexion - Plume - 28-11-2007
[ mysql_real_escape_string() ]
RE: Connexion - Zamentur - 28-11-2007
oui c'est vrai aussi çà avais d'ailleurs était donnés 3 fois!
Honte à moi de ne pas l'avoir cité à nouveau! (c'est à cause de vielles habitude...)
RE: Connexion - Zamentur - 28-11-2007
ouai c'est CSRF à chaque fois je melange les letres c'est etrible, enfin peut importye son nom, en gros c'est une attaque qui utilise un visiteur honete(theoriquement) pour faire une action sans qu'il s'en rende compte.
Ce meme visiteur peut alors etre victime
La plus part des jeux en ligne par navigateur (si c'est pas tous) sont vulnerable, par exemple il est possible de faire bouger tout les joueurs qui visite un forum d'une case sur la map du jeu
Ou plus vicieux de vendre leur ressources
Ou pire si le jeu ne demande pas de mot de passe concernant la gestion du compte
Voilà, enfin c'est une faille omnipresente bien pire que les XSS qui sont dangereuse pour les codes libre mais pas pour ceux qui ne sont pas diffusé (à moins que la faille soit géante)