Sécurité d'un système de news

Ce forum aborde toutes les questions qu'un codeur ou webmaster pourrait se poser, et n'ayant aucun rapport direct avec phpBB.
Tout ce qui peut concerner la récupération des sessions de phpBB sur votre site, doit se faire dans cette section.

Modérateur: Equipe

Règles du forum
A lire impérativement : Règlement de phpBB-fr.com

Sécurité d'un système de news

Messagepar ---nico33--- » 19 Mai 2007 à 07:42

Bonjour a tous. Petite question desécurité, mais avant je vous explique ce que j'ai déjà fait.

J'utilise les sessions phpbb sur mon site (j'ai suivi les instructions données par Titeuf51 sur ce topicet ça marche nickel, j'ai même rajouté quelques trucs :P )

De plus, j'ai un mis en place un système de news, que j'ai fais moi même, et je comptais le rendre accessible uniquement à certains membres (les rédacteurs quoi).

Dans ce but, j'avais l'intention de créer une table sur ma BDD qui contiendrait les user_id (voire tout simplement les username) des rédacteurs. Puis, pour accéder à l'index de rédaction :
    ¤ d'une part, le lien ne s'affiche que si le user_id/username du membre connecté est contenu dans la table.
    ¤ d'autre part, sur l'index de rédaction, je vérifie de prime abord si le membre connecté a son user_id/username dans la table, sinon il s'affiche un message d'erreur et il est redirigé vers l'accueil (pour éviter les petits malins qui taperait directement l'adresse dans la barre d'adresse)


Ma question est simple : est-ce que ce système est bien sécurisé ? Je suppose que oui, mais j'ai une bizarre intuition, donc dans le doute, je préfère demander à des personnes plus compétentes.

Merci d'avance ;)
---nico33---
Posteur néophyte
Posteur néophyte
 
Messages: 4
Enregistré le: 09 Avr 2007 à 19:09

Messagepar Saint-Pere » 19 Mai 2007 à 09:38

impossible de te répondre sans lire ton code. :?
Saint-Pere
Apprenti-floodeur
Apprenti-floodeur
 
Messages: 1138
Enregistré le: 26 Mar 2004 à 15:05
Localisation: Sur Malleo

Messagepar ---nico33--- » 22 Mai 2007 à 00:54

Bon dans ce cas je vais l'écrire. C'est pas trop long, donc dès que j'ai ça je le poste.

Mais sinon, dans le principe....?

Edit : je précise bien que c'est pas le script de news en lui même sur lequel je pose la question de sécurité, mais bien son accès par le biais des user_id/username des sessions phpbb...

Edit bis :

Bon, voila quelques explications avant le code. Ma partie "Rédaction" se trouve dans un dossier à la racine de mon site. Elle se compose d'un index, et de plusieurs pages différentes incluses dans cet index.

Pour accéder à ça on fait : http://www.monsite.com/redac/

Là, sur l'index il y a le code pour l'extension des sessions phpbb :
Code: Tout sélectionner
define('IN_PHPBB', true);
$phpbb_root_path = '../forum/';
include($phpbb_root_path . 'extension.inc');
include($phpbb_root_path . 'common.'.$phpEx);


//
// Start session management
//
$userdata = session_pagestart($user_ip, PAGE_SITE);
init_userprefs($userdata);
//
// End session management
//


Puis, y a ça :

Code: Tout sélectionner
db_connect(); // connexion à la Bdd
$retour_redac = mysql_query("SELECT * FROM redac");

$i=0;
while ($redac = mysql_fetch_array($retour_redac))
	{
	$redac_id[$i] = $redac['redac_id'];
	$i++;
	}

if($userdata['session_logged_in'])
   {
   if (!in_array($userdata['user_id'],$redac_id))
      {
	  mysql_close();
	  exit('<p>Vous ne pouvez pas accéder à cette page. Connectez vous !</p></body></html>');
	  }
	else
		{
		mysql_close();
		}
   }
else
	{
	mysql_close();
	exit('<p>Vous ne pouvez pas accéder à cette page. Connectez vous !</p></body></html>');
	}


La table redac ne contient qu'un champ, qui répertorie les user_id (de phpbb) des rédacteurs. Si celui qui essaie d'entrer à la page n'est pas connecté ou alors n'est pas autorisé, ça exit.

Donc, question de départ : est ce qu'il n'y aucune faille de sécurité là dedans ? *Un peu parano sur les bords :roll: *
---nico33---
Posteur néophyte
Posteur néophyte
 
Messages: 4
Enregistré le: 09 Avr 2007 à 19:09


Retourner vers Coding, Webmastering et Sécurité informatique

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 3 invités