8797 sujets

Développement web côté serveur, CMS

[résolux] Authentification sans BDD

Pages :
Bonsoir tout le monde.

Je voudrai, pour un projet encore sur cahier, dévelloper une interface utilisateur (qui permettrait de modifier les xml du site), accessibles par login et pass (dans l'idée de dévellopper un site dont je ne me chargerai pas des mises à jour, qui pourront être faite par simple modification du xml par formulaire).

Seulement, je ne suis pas très copain avec les bdd, et de plus, je n'en utiliserai pas pour ce site, donc je me vois mal créer une bdd pour stocker deux malheureux login et pass.

Existe-t-il une autre solution, sécuritaire, et relativement facile à mettre en place ?

Merci bcp. Smiley smile
Modifié par Lisarael (25 Apr 2005 - 23:01)
Il me semble que si tu stockes ça dans un fichier .htaccess tu as moyen de récupérer les dits fichier, mais je ne suis sûr de rien sur ce point.
Par ailleurs, une petite table de rien du tout n'est pas grand chose à mettre en place en dernier recours Smiley cligne
pas de bdd.

vraiment.

--------------------
t'aurais pas un lien "précis & concis" (lol) sur le code d'un htaccess expliqué ?
> pas de bdd.

Okay Smiley smile

Pour htaccess, nan, j'ai rien sous la main, c'est de mémoire, c'est pour ça que je suis pas trop trop sûr, je voudrais pas t'induire en erreur Smiley ohwell

Mais ce à quoi je pensais, c'était l'accès aux infos (login:mdp) du htaccess via PHP, essai de ce côté la sur google.

Sinon, un simple fichier htaccess direct sans interface web. T'as le prompt, tu met mdp et login et zou roulez jeunesse.


<edit>Allez juste pour déconner et dire une connerie plus grosse que moi (woula faut y aller déjà Smiley lol ), t'as qu'à mettre les logins et mdp dans le XML Smiley lol lol
Modifié par Olivier (25 Apr 2005 - 20:51)
je préfère une interface pour rentrer le log et pass, ça fait plus joli, et de plus, ce sera vraiment pour un profane, la destination.

ce serait en fait pour un noyau de site, avec une interface d'admin, qui lui permettrait de modifier les xml principaux (news, etc...), sans devoir s'y connaitre...

dans ce que je dis ci-dessus, je sais tout faire, sauf le système d'authentification sécurisée...

note: j'apprends le php "à la va comme je te pousse", au sens où je connais l'api de base, et j'apprends le reste au jugé quand j'en ai besoin.

mais je veux pas de bdd, je maintiens... (quoi, têtu ? Smiley ravi )
C'est pas pour t'emmerder, mais pourquoi pas de BDD ?

Ca parait assez complexe sans bdd de faire un truc securisé Smiley ohwell enfin, avec interface web.

Je regardais sur google là, mais je suis nul en recherche, je trouve jamais ce que je veux, je m'énerve sur le moteur débile à chaque fois Smiley langue
Et là, pareil, je trouve pas ce à quoi je pensais, je me souviens peut être mal...

En tout cas, je vois mal comment t'en sortir autrement Smiley ohwell
en fait, c'est pasque les bdd et moi, on est pas trop copains... mais vraiment pas.

y a vraiment aps moyen de stocker des pass/login ailleurs que dans une bdd et que ça reste sécurisé ?
Bah, je réfléchi et je trouve rien, mais je connais pas tout Smiley smile
Y a que htaccess ou htpasswd je sais plus, enfin ça revient au même et t'as pas d'inteface web...

Sinon, si t'aime pas le PHP, tu DL un script tout fait... mais t'as pas l'air chaud chaud Smiley lol

Perso, je vois pas grand chose à l'horizon, mais attend peut être un avis tiers.
oui, je me doute...

mais ce que j'aimerai savoir, c'est comment définir les valeurs de ces deux variables, sans que personne n'y ait accès, à part le code php qui ira vérifier si les logs et pass sont bons.
Pour répondre à ta question:

Oui, il est tout à fait possible de sotcker des mots de passe sans utiliser de base de données. Il faut utiliser les fichiers d'Apache:

* .htaccess
* .htpasswd

(la syntaxe du nom peut différer selon l'hébergeur (htaccess.fi chez PHPNet, par exemple, autre chose chez Free(! syntaxe particulière !), crois-je) )

Quelques liens pour le contenu du ".htaccess":

http://www.phpnet.org/forum/index.php?act=ST&f=5&t=82&s= (court mais bref)
http://www.phpdebutant.org/article51.php
http://www.gpcservices.com/commentcamarche/apache/apacht.htm
(...) Smiley google

Normalement, le mot de passe est codé avec la fonction PHP crypt(string $str) et les mots de passe sont stockés comme:

login:mot_de_passe_codé
login2:son_mdp
toto:etc

dans le fichier .htpasswd.

Cependant, il faut que l'hébergeur accepte ces fichiers, ce qui n'est pas toujours le cas (je pense aux hébergeurs gratuits).

Ensuite, tu peux lire (pas vérifié, mais ce doit être possible) depuis un script PHP "autorisé" (soit dans une partie sécurisée) ces fichiers (particulièrement le .htpasswd) et le parcourir pour en faire une table PHP modifiable ensuite par tes soins (user) puis tu ré-écris dedans. Facile Smiley murf !

Bonne chance,

@+, HoPHP
Heu comment vous faites pour avoir accès à une variable php ? Smiley confus

que la variable soit stockée directement ou dans une base de données, c'est du pareil au même ...

si c'est juste pour un ou deux login, tu ashe (fonction md5() ) les mots de passe et c'est réglé...
TriadPtale a écrit :
Heu comment vous faites pour avoir accès à une variable php ? Smiley confus

que la variable soit stockée directement ou dans une base de données, c'est du pareil au même ...

si c'est juste pour un ou deux login, tu ashe (fonction md5() ) les mots de passe et c'est réglé...


ok. admettons que je crée une variable, en head de mon php, genre:

$pass="XdFgrlkOF";

qui serait le résultat d'un cryptage.

je peux donc demander un passe dans un formulaire, le cryter selon la même méthode et comparer le résultat ?

"tout bêtement" ?

et ensuite, faire un lien vers une page figurant dans un dossier protégé par un .htaccess sans pass ?

(corrigez-moi si je me trompe, là, je ne fais qu'avancer des suppositions pour voir si je capte bien l'affaire)
Oui, tu récupère la valeur du formulaire, tu la ashe et tu compare.

si c'est pas bon => un header - redirect

si ok, on continue

Tu n'a pas besoin de htaccess
pas besoin de htaaccess, mais pour empêcher que des gens tombent sur mes fichiers en tapant un nom de dossier au hasard ?
Là, tu as besoin de htaccess...

En fait, si je comprends bien la chose, htaccess protège des fichiers ou dossiers en fonction d'utilisateurs (système UNIX) que tu peux également définir dans le htpasswd. De plus, htaccess permet une autentification par fenêtre propre au navigateur, c'est mignon (et t'as pas besoin de gérer l'affichage d'un formulaire). Ainsi, tu sais que l'utilisateur qui accède à ta page a entré un mot de passe correct.

Inconvénient: je ne vois pas comment gérer plusieurs types d'accès ni discriminer en fonction de chaque utilisateur (données personelles) ou d'un seul (administrateur) sur une page PHP protégée par htaccess. C'est peut-être possible...

@+, HoPHP
Bah, à priori tout ce qui est entre <?php et ?> est invisible, mais c'est pas hyper sécurisé pour le mec qui veut vraiment farfouiller et récupérer l'info top secret !

On m'a toujours dit que mettre des mdp en dur c'était moyen moyen.

Un truc que tu peux faire, c'est le mettre dans un sous dossier de www
En général, tu as un sous dossier avec plein de bordel style log etc
en même temps, en relisant tes liens, HoPhp, je pense que je vais opter pour ta solution, vu que le contenu ne serait pas restrictif, étant donné que les seuls qui auront accès à la zone auraont le pouvoir de modifier tout ce qu'il faut.

encore merci à tous, je rajoute le petit tag qu'il faut dans le titre...
Modifié par Lisarael (25 Apr 2005 - 23:02)
Pages :
Sujet clos
Aller à