Connexion + sécurité contre le vol de cookies + bruteforce

  Information

Il arrive a tout le monde de laisser une faille xss pendant la construction d'un site ... Et certains pirates n'hésitent pas à s'en servir à des fins plus ou moins bons.

Le but de cette classe est de protéger vos utilisateurs du vol de cookie online, en introduisant leur ip publique dans le hash du cookie.
Cette sécurité devient obsolète à partir du moment où le vol s'effectue dans un réseau local !

On a aussi ici un système d'anti bruteforce, qui prend comme paramètre l'ip publique de l'utilisateur. Si la limite est atteinte, c'est tout le réseau privé qui est bloqué, mais il est facilement désactivable ou on peut prendre le compte attaqué comme paramètre ... Donc à vous de faire le choix !

  code source classé dans  Sécurité

 
 01    
 02    
 03    
 04    
 05    
 06    
 07    
 08    
 09    
 10    
 11    
 12    
 13    
 14    
 15    
 16    
 17    
 18    
 19    
 20    
 21    
 22    
 23    
 24    
 25    
 26    
 27    
 28    
 29    
 30    
 31    
 32    
 33    
 34    
 35    
 36    
 37    
 38    
 39    
 40    
 41    
 42    
 43    
 44    
 45    
 46    
 47    
 48    
 49    
 50    
 51    
 52    
 53    
 54    
 55    
 56    
 57    
 58    
 59    
 60    
 61    
 62    
 63    
 64    
 65    
 66    
 67    
 68    
 69    
 70    
 71    
 72    
 73    
 74    
 75    
 76    
 77    
 78    
 79    
 80    
 81    
 82    
 83    
 84    
 85    
 86    
 87    
 88    
 89    
 90    
 91    
 92    
 93    
 94    
 95    
 96    
 97    
 98    
 99    
 100    
 101    
 102    
 103    
 104    
 105    
 106    
 107    
 108    
 109    
 110    
 111    
 112    
 113    
 114    
 115    
 116    
 117    
 118    
 119    
 120    
 121    
 122    
 123    
 124    
 125    
 126    
 127    
 128    
 129    
 130    
 131    
 132    
 133    
 134    
 135    
 136    
 137    
 138    
 139    
 140    
 141    
 142    
 143    
 144    
 145    
 146    
 147    
 148    
 149    
 150    
 151    
 152    
 153    
 154    
 155    
 156    
 157    
 158    
 159    
 160    
 161    
 162    
 163    
 164    
 165    
 166    
 167    
 168    
 169    
 170    
 171    
 172    
 173    
 174    
 175    
 176    
 177    
 178    
 179    
 180    
 181    
 182    
 183    
 184    
 185    
 186    
 187    
 188    
 189    
 190    
 191    
 192    
 193    
 194    
 195    
 196    
 197    
 198    
 199    
 200    
 201    
 202    
 203    
 204    
 205    
 206    
 207    
 208    
 209    
 210    
 211    
 212    
 213    
 214    
 215    
 216    
 217    
 218    
 219    
 220    
 221    
 222    
 223    
 224    
 225    
 226    
 227    
 228    
 229    
 230    
 231    
 232    
 233    
 234    
 235    
 236    
 237    
 238    
 239    
 240    
 241    
 242    
 243    
 244    
 245    
 246    
 247    
 248    
 249    
 250    
 251    
 252    
 253    
 254    
 255    
 256    
 257    
 258    
 259    
 260    
                               
<?php
/*---------------------------------------------------------------*/
/*
    Titre : Connexion + sécurité contre le vol de cookies + bruteforce                                              
                                                                                                                          
    URL   : https://phpsources.net/code_s.php?id=658
    Auteur           : lovenunu                                                                                           
    Date édition     : 17 Juil 2012                                                                                       
    Date mise à jour : 24 Sept 2019                                                                                      
    Rapport de la maj:                                                                                                    
    - refactoring du code en PHP 7                                                                                        
    - fonctionnement du code vérifié                                                                                
*/
/*---------------------------------------------------------------*/

    $db_server 'localhost'// Adresse du serveur MySQL
    $db_name '';            // Nom de la base de données
    $db_user_login 'root';  // Nom de l'utilisateur
    $db_user_pass '';       // Mot de passe de l'utilisateur

    // Ouvre une connexion au serveur MySQL
    $conn mysqli_connect($db_server,$db_user_login$db_user_pass$db_name);

// Pour que ce code fonctionne, il faut évidement que la table membre
// existes,
// et qu'elle contienne les colones login et pass

class security {

    global $conn;

    // Méthode de sécurisation des variables contre les injections sql
    public function secure($value) {
        $value urlencode($value);
        $value preg_replace("#\'#"""$value);
        $value preg_replace("#\-#"""$value);
        
        return $value;
    }

    // Simplification de la lecture d'un fichier
    public function read_file($file) {
        $file fopen($file'r');
        $buf "";
        while($line fgets($file)) {
            $buf.=$line;
        }
        fclose($file);
        return $buf;
    }
    
    // Simplification de l'écriture d'un fichier
    public function write_file($file$text) {
        file_exists($file) ? unlink($file): $ret=1;
        $file fopen($file'a');
        fputs($file$text);
        fclose($file);
        return TRUE;
    }
    
    // Anti bruteforce
    public function anti_brute($rep$lim) {
    // Si le dossier demandé n'existe pas, on le créé.
        if(!is_dir($rep))            
            mkdir($rep);
        
// On récupère l'ip de l'utilisateur pour trier les tentatives de
// connexion
        $ip = (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) ? $_SERVER[
'HTTP_X_FORWARDED_FOR']: $_SERVER['REMOTE_ADDR'];
// Ici on stocke dans $ip l'adresse publique du client, même si il passe par
// un
// proxy.
        // Adresse du fichier à  écrire
        $file=$rep."/".$ip;
        
        if(file_exists($file)) {
            
// Si le fichier existes ( c'est à  dire que l'utilisateur avec l'ip $ip s'est
// déjà  trompé.
            $tmp $this->read_file($file); // On lit le fichier
            $tmp explode("-"$tmp); 
// On l'explose pour récupérer d'un coté le nombre de tentatives, et le
// timestamp de la dernière
            $i $tmp[0]; $time $tmp[1];
            
            
// Si la dernière tentative était il y a 24h, on remet le compteur à  0
            if($time <= (time()-(24*3600))) {
                unlink($file);
                $this->anti_brute($rep$lim);
            }
            
            
// Si le nombre de tentative est en dessous de la limite, on incrémente le
// compteur et on met à  jour le fichier
            if($i $lim) {
                $this->write_file($file, ($i+1)."-".time());
            // Si la limite est atteinte, on tue le script.
            } else if($i >= $lim) {
                $this->write_file($file$lim."-".time());
                die("Security error | Limit: ".$lim." reached");
            }
        } else {
            // Première erreur, on met à  jour le fichier
            $this->write_file($file"1-".time());
        }
        
        return TRUE;
    }

    // Un méthode un peu bourrin, mais n'est-on jamais trop sur ?
    public function hash_password($value) {
        $valuemd5("salt1").$value.md5("salt2"); 
//On parse le mot de passe avec deux grains de sel.
        $value=sha1($value); // On passe cette valeur au sha1
        $value=md5("salt3").$value.md5("salt4"); // Encore des grains de sel.
        $value=sha1($value).md5($value); 
// Et un final: on concatène le sha1 et le md5 de la valeur précédente.
        
        return $value;
    }
    
    
// Encore un peu bourrin, mais comme à§a, même une personne motivée et
// avec
// d'énormes rainbow tables sera déstabilisée !
    public function parse_cookie($login$pass) {
        //On doit fournir le $pass déjà  hashé pour que cela soit utile
        $login md5("salt1").$login.md5("salt2"); 
// Quelques grains de sel pour le login
        $login base64_encode(md5($login)); // Encore quelques fonctions
        $ip = (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) ? $_SERVER[
'HTTP_X_FORWARDED_FOR']: $_SERVER['REMOTE_ADDR'];
// Ici on stocke dans $ip l'adresse publique du client, même si il passe par
// un
// proxy.
        $cookie md5("salt3").$login.sha1(md5($ip)."00001").$pass
// Tant qu'à  hasher, au le faire en gros ?
        $cookie md5("salt4".base64_encode($cookie)."salt5"); 
// Encore en toujours !
    
        return $cookie;
    }
    
    // Définition des cookies
    public function connect($login$pass) {
        $expire time()+24*3600*365
// La date d'expiration est une année après 
        
// On définie les cookies login et parse, le premier nous sert à  resortir
// le nom
// du membre, le second à  vérifier sa connexion
        setcookie("login"$login$expire);
        setcookie("parse"$this->parse_cookie($login$pass), $expire);
    }
    
    // Vérification des cookies
    public function check_cookie($login,$parse) {
        $sql mysqli_query($conn"SELECT password FROM membres WHERE login='".
$login."'");
        $sql mysqli_fetch_array($sql);
        
        if(!empty($sql) and $this->parse_cookie($login,$sql['password']) == 
$parse)
            return TRUE;
        else
            return FALSE;
    }
    
    // Vérification des entrées de connexion
    public function check_connect($login$pass) {
        $ret 0//variable de retour
        $sql mysqli_query($conn"SELECT password FROM membres WHERE login ='"
.$login."'"); // On récupère les ressources mysql
        $sql mysqli_fetch_array($sql); // On en fait un array
        // Si ce tableau est vide: le compte n'existe pas.
        if(empty($sql)) {
            $ret=1
// On retourne une valeur si on veut pouvoir traiter les erreurs séparement.
// 1:
// le login n'existe pas
        // Si le tableau n'est pas vide, on vérifie le mot de passe
        } else {
            if($this->hash_password($pass) == $sql['password']) {
                $this->connect($login,$this->hash_password($pass));
            } else {
                $this->anti_brute("membres"20); 
// on applique l'anti brute-force
                $ret=2// 2: Le pass est faux
            }
        }
    return $ret;
    }
}



// Nouvel objet security
$s = new security();

/*
Pour ajouter un utilisateur text:
mysql_query("INSERT INTO membres VALUES(NULL,'admin',
 '".$s->hash_password('password')."')");
login: admin
password: password
*/

// Connexion active
$cookie_login = (isset($_COOKIE['login']) and !empty($_COOKIE['login'])) ? $s->
secure($_COOKIE['login']): FALSE;
$cookie_parse = (isset($_COOKIE['parse']) and !empty($_COOKIE['parse'])) ? 
$_COOKIE['parse']: FALSE;

// Essai de connexion
$login = (isset($_POST['login']) and !empty($_POST['login'])) ? $s->secure(
$_POST['login']):FALSE;
$pass = (isset($_POST['pass']) and !empty($_POST['pass'])) ? $_POST['pass']:
FALSE;

// Tentative de connexion
if($login and $pass)
    $erreur= ($s->check_connect($login$pass)) ? "Erreur de connexion":"";

// Vérification des cookies
if($cookie_login and $cookie_parse)
    $erreur= (!$s->check_cookie($cookie_login$cookie_parse)) ? 
"Erreur de cookie":"";


// Tout le système est près, maitenant on peut afficher la page qu'on veut
// !    

// Logique: si $erreur n'existe pas, c'est que l'utilisateur n'a ni essayé de
// se
// connecter, ni de cookie, il se balade juste !
if(!isset($erreur)) {
    // On fait ce qu'on veut pour notre invité !
    // On va faire un formulaire de connexion
    ?>
    <form action="<?php print $_SERVER['SCRIPT_NAME']; ?>" method="post">
        <label for="login">Login: </label>
        <input type="text" name="login" /><br/>
        <label for="pass">Password: </label>
        <input type="password" name="pass" /><br/>
        <input type="submit" value="Connexion" />
    </form>
    <?php
   } else {
    if(empty($erreur)) {
        // Notre utilisateur est réglo, on fait ce qu'on veut !
    } else {
        // Pas cool, il y a une erreur !
        print $erreur;
    }
    }
?>

          Fonctions du code - Doc officielle PHP

   php.net   Description Versions PHP OUTIL
   base64_encode Encode une chaîne en MIME base64 PHP 4, PHP 5, PHP 7, PHP 8
   die Alias de la fonction exit() PHP 4, PHP 5, PHP 7, PHP 8
   empty Détermine si une variable contient une valeur non nulle PHP 4, PHP 5, PHP 7, PHP 8
   explode Coupe une chaîne en segments PHP 4, PHP 5, PHP 7, PHP 8
   fclose Ferme un fichier PHP 4, PHP 5, PHP 7, PHP 8
   fgets Renvoie la ligne courante sur laquelle se trouve le pointeur du fichier PHP 4, PHP 5, PHP 7, PHP 8
   file_exists Vérifie si un fichier existe PHP 4, PHP 5, PHP 7, PHP 8
   fopen Ouverture d'un fichier ou d'une URL PHP 4, PHP 5, PHP 7, PHP 8
   fputs Alias de fwrite() PHP 4, PHP 5, PHP 7, PHP 8
   isset Détermine si une variable est affectée PHP 4, PHP 5, PHP 7, PHP 8
   is_dir Indique si le fichier est un dossier PHP 4, PHP 5, PHP 7, PHP 8
   md5 Calcule le md5 d'une chaîne - (PHP 4, PHP 5, PHP 7, PECL hash:1.1-1.3) PHP 4, PHP 5, PHP 7, PHP 8
   mkdir Crée un dossier PHP 4, PHP 5, PHP 7, PHP 8
   mysqli_connect Ouvre une connexion à un serveur MySQL PHP 5, PHP 7, PHP 8
   mysqli_fetch_array Retourne une ligne de résultat sous la forme d'un tableau associatif PHP 5, PHP 7, PHP 8
   mysqli_query Exécute une requête sur la base de données PHP 5, PHP 7, PHP 8
   preg_replace Rechercher et remplacer par expression rationnelle standard PHP 4, PHP 5, PHP 7, PHP 8
   print Affiche une chaîne de caractères PHP 4, PHP 5, PHP 7, PHP 8
   return Retourne le controle du programme au module appelant. PHP 4, PHP 5, PHP 7, PHP 8
   setcookie Envoie un cookie PHP 4, PHP 5, PHP 7, PHP 8
   sha1 Calcule le sha1 d'une chaîne de caractères - (PHP 4 >= 4.3.0, PHP 5, PHP 7, PECL hash:1.1-1.3) PHP 4, PHP 5, PHP 7, PHP 8
   time Retourne le timestamp UNIX actuel PHP 4, PHP 5, PHP 7, PHP 8
   unlink Efface un fichier PHP 4, PHP 5, PHP 7, PHP 8
   urlencode Encode une chaîne en URL PHP 4, PHP 5, PHP 7, PHP 8

   Dites merci aux auteurs pour leurs travail, ça ne coûte rien et ça fait toujours plaisir wink

 Autres snippets qui pourraient vous intéressez

Supprimer tous les cookies avec PHP

Compatibilité : PHP 5, PHP 7

Il est impossible de supprimer un cookie d'1 navigateur client avec PHP. Mais l'on peut le vider et le désactiver.

Stocker des tableaux dans des cookies

Compatibilité : PHP 5, PHP 7

Stocker des array dans des cookies: Voici 2 manières de procéder avec Serialize et JSON.

Savoir si le navigateur du visiteur accepte les cookies

Compatibilité : PHP 5, PHP 7

Pour savoir si le navigateur du client accepte ou non les cookies, nous allons procéder en 2 étapes.

Vérifie si 1 numéro de sécurité sociale est valide

Compatibilité : PHP 5, PHP 7

Vérifie qu'un numéro est bien un numéro de sécurité sociale français.

Astuce trés simple contre le spam - PHP Sources

Compatibilité : PHP 5, PHP 7

On sait que les robots pollue le web avec le spam en alimentant de manière automatique les formulaires de contacts par exemple.

Présentation de PHP

PHP débutant et initié 50 Tutoriel

Présentation de MySQL

avatar

Lovenunu

  17 Juil 2012

  SOURCE   Télécharger

Information sur les mises à jour

Dernière mise à jour :

    24 Sept 2019
    refactoring du code en PHP 7
    fonctionnement du code vérifié

8 730 Vues
Compatibilité
PHP 5, 7 et 8+