Système de connexion de membres avec securité contre le vol de cookies et bruteforce

      Information

Il arrive a tout le monde de laisser une faille xss pendant la construction d'un site ... Et certains pirates n'hésitent pas à s'en servir à des fins plus ou moins bons.

Le but de cette classe est de protéger vos utilisateurs du vol de cookie online, en introduisant leur ip publique dans le hash du cookie.
Cette sécurité devient obsolète à partir du moment où le vol s'effectue dans un réseau local !

On a aussi ici un système d'anti bruteforce, qui prend comme paramètre l'ip publique de l'utilisateur. Si la limite est atteinte, c'est tout le réseau privé qui est bloqué, mais il est facilement désactivable ou on peut prendre le compte attaqué comme paramètre ... Donc à vous de faire le choix !
WARNING

   Avertissement


Ces fonctions sont utilisées dans ce code source:
mysql_close()   mysql_connect()   mysql_fetch_array()   mysql_query()   mysql_select_db()   

Ces extensions étaient obsolètes en PHP 5.5.0, et ont été supprimées en PHP 7.0.0. À la place, vous pouvez utiliser l'extension MySQLi ou l'extension PDO_MySQL. Voir aussi MySQL : choisir une API du guide et ces entrées de la FAQ pour plus d'informations. Alternatives à cette fonction : mysqli_connect() et PDO::__construct()

   Code source classé dans  Sécurité

 
 01    
 02    
 03    
 04    
 05    
 06    
 07    
 08    
 09    
 10    
 11    
 12    
 13    
 14    
 15    
 16    
 17    
 18    
 19    
 20    
 21    
 22    
 23    
 24    
 25    
 26    
 27    
 28    
 29    
 30    
 31    
 32    
 33    
 34    
 35    
 36    
 37    
 38    
 39    
 40    
 41    
 42    
 43    
 44    
 45    
 46    
 47    
 48    
 49    
 50    
 51    
 52    
 53    
 54    
 55    
 56    
 57    
 58    
 59    
 60    
 61    
 62    
 63    
 64    
 65    
 66    
 67    
 68    
 69    
 70    
 71    
 72    
 73    
 74    
 75    
 76    
 77    
 78    
 79    
 80    
 81    
 82    
 83    
 84    
 85    
 86    
 87    
 88    
 89    
 90    
 91    
 92    
 93    
 94    
 95    
 96    
 97    
 98    
 99    
 100    
 101    
 102    
 103    
 104    
 105    
 106    
 107    
 108    
 109    
 110    
 111    
 112    
 113    
 114    
 115    
 116    
 117    
 118    
 119    
 120    
 121    
 122    
 123    
 124    
 125    
 126    
 127    
 128    
 129    
 130    
 131    
 132    
 133    
 134    
 135    
 136    
 137    
 138    
 139    
 140    
 141    
 142    
 143    
 144    
 145    
 146    
 147    
 148    
 149    
 150    
 151    
 152    
 153    
 154    
 155    
 156    
 157    
 158    
 159    
 160    
 161    
 162    
 163    
 164    
 165    
 166    
 167    
 168    
 169    
 170    
 171    
 172    
 173    
 174    
 175    
 176    
 177    
 178    
 179    
 180    
 181    
 182    
 183    
 184    
 185    
 186    
 187    
 188    
 189    
 190    
 191    
 192    
 193    
 194    
 195    
 196    
 197    
 198    
 199    
 200    
 201    
 202    
 203    
 204    
 205    
 206    
 207    
 208    
 209    
 210    
 211    
 212    
 213    
 214    
 215    
 216    
 217    
 218    
 219    
 220    
 221    
 222    
 223    
 224    
 225    
 226    
 227    
 228    
 229    
 230    
 231    
 232    
 233    
 234    
 235    
 236    
 237    
 238    
 239    
 240    
 241    
 242    
 243    
 244    
 245    
 246    
 247    
                               
<?php
/****************************************************/
/*
     Titre : Système de connexion de membres avec securité contre le vol de cookies.                         
 ..                                                                                                                       
                                                                                                                          
     URL   : https://phpsources.net/code_s.php?id=658
     Auteur         : lovenunu                                                                                            
     Date edition   : 17 Juil 2012                                                                                        
*/
/*****************************************************/

$server ""// Serveur mysql
$mysql_login ""// Utilisateur mysql
$mysql_pass ""// Mot de passe mysql
$mysql_db ""// base de donnée

mysql_connect($server$mysql_login$mysql_pass);
mysql_select_db($mysql_db);

// Pour que ce code fonctionne, il faut évidement que la table membre existes,
// et qu'elle contienne les colones login et pass

class security {

    // Méthode de sécurisation des variables contre les injections sql
    public function secure($value) {
        $value urlencode($value);
        $value preg_replace("#\'#"""$value);
        $value preg_replace("#\-#"""$value);
        
        return $value;
    }

    // Simplification de la lecture d'un fichier
    public function read_file($file) {
        $file fopen($file'r');
        $buf "";
        while($line fgets($file)) {
            $buf.=$line;
        }
        fclose($file);
        return $buf;
    }
    
    // Simplification de l'écriture d'un fichier
    public function write_file($file$text) {
        file_exists($file) ? unlink($file): $ret=1;
        $file fopen($file'a');
        fputs($file$text);
        fclose($file);
        return TRUE;
    }
    
    // Anti bruteforce
    public function anti_brute($rep$lim) {
    // Si le dossier demandé n'existe pas, on le créé.
        if(!is_dir($rep))            
            mkdir($rep);
        
// On récupère l'ip de l'utilisateur pour trier les tentatives de connexion
        $ip = (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) ? $_SERVER[
'HTTP_X_FORWARDED_FOR']: $_SERVER['REMOTE_ADDR']; 
// Ici on stocke dans $ip l'adresse publique du client, même si il passe par un
// proxy.
        // Adresse du fichier à écrire
        $file=$rep."/".$ip;
        
        if(file_exists($file)) {
            
// Si le fichier existes ( c'est à dire que l'utilisateur avec l'ip $ip s'est
// déjà trompé.
            $tmp $this->read_file($file); // On lit le fichier
            $tmp explode("-"$tmp); 
// On l'explose pour récupérer d'un coté le nombre de tentatives, et le
// timestamp de la dernière
            $i $tmp[0]; $time $tmp[1];
            
            
// Si la dernière tentative était il y a 24h, on remet le compteur à 0
            if($time <= (time()-(24*3600))) {
                unlink($file);
                $this->anti_brute($rep$lim);
            }
            
            
// Si le nombre de tentative est en dessous de la limite, on incrémente le
// compteur et on met à jour le fichier
            if($i $lim) {
                $this->write_file($file, ($i+1)."-".time());
            // Si la limite est atteinte, on tue le script.
            } else if($i >= $lim) {
                $this->write_file($file$lim."-".time());
                die("Security error | Limit: ".$lim." reached");
            }
        } else {
            // Première erreur, on met à jour le fichier
            $this->write_file($file"1-".time());
        }
        
        return TRUE;
    }

    // Un méthode un peu bourrin, mais n'est-on jamais trop sur ?
    public function hash_password($value) {
        $valuemd5("salt1").$value.md5("salt2"); 
//On parse le mot de passe avec deux grains de sel.
        $value=sha1($value); // On passe cette valeur au sha1
        $value=md5("salt3").$value.md5("salt4"); // Encore des grains de sel.
        $value=sha1($value).md5($value); 
// Et un final: on concatène le sha1 et le md5 de la valeur précédente.
        
        return $value;
    }
    
    
// Encore un peu bourrin, mais comme ça, même une personne motivée et avec
// d'énormes rainbow tables sera déstabilisée !
    public function parse_cookie($login$pass) {
        //On doit fournir le $pass déjà hashé pour que cela soit utile
        $login md5("salt1").$login.md5("salt2"); 
// Quelques grains de sel pour le login
        $login base64_encode(md5($login)); // Encore quelques fonctions
        $ip = (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) ? $_SERVER[
'HTTP_X_FORWARDED_FOR']: $_SERVER['REMOTE_ADDR']; 
// Ici on stocke dans $ip l'adresse publique du client, même si il passe par un
// proxy.
        $cookie md5("salt3").$login.sha1(md5($ip)."00001").$pass
// Tant qu'à hasher, au le faire en gros ?
        $cookie md5("salt4".base64_encode($cookie)."salt5"); 
// Encore en toujours !
    
        return $cookie;
    }
    
    // Définition des cookies
    public function connect($login$pass) {
        $expire time()+24*3600*365
// La date d'expiration est une année après 
        
// On définie les cookies login et parse, le premier nous sert à resortir le nom
// du membre, le second à vérifier sa connexion
        setcookie("login"$login$expire);
        setcookie("parse"$this->parse_cookie($login$pass), $expire);
    }
    
    // Vérification des cookies
    public function check_cookie($login,$parse) {
        $sql mysql_query("SELECT password FROM membres WHERE login='".$login.
"'");
        $sql mysql_fetch_array($sql);
        
        if(!empty($sql) and $this->parse_cookie($login,$sql['password']) == 
$parse)
            return TRUE;
        else
            return FALSE;
    }
    
    // Vérification des entrées de connexion
    public function check_connect($login$pass) {
        $ret 0//variable de retour
        $sql mysql_query("SELECT password FROM membres WHERE login ='".$login.
"'"); // On récupère les ressources mysql
        $sql mysql_fetch_array($sql); // On en fait un array
        // Si ce tableau est vide: le compte n'existe pas.
        if(empty($sql)) {
            $ret=1
// On retourne une valeur si on veut pouvoir traiter les erreurs séparement. 1:
// le login n'existe pas
        // Si le tableau n'est pas vide, on vérifie le mot de passe
        } else {
            if($this->hash_password($pass) == $sql['password']) {
                $this->connect($login,$this->hash_password($pass));
            } else {
                $this->anti_brute("membres"20); 
// on applique l'anti brute-force
                $ret=2// 2: Le pass est faux
            }
        }
    return $ret;
    }
}



// Nouvel objet security
$s = new security();

/*
Pour ajouter un utilisateur text:
mysql_query("INSERT INTO membres VALUES(NULL,'admin',
 '".$s->hash_password('password')."')");
login: admin
password: password
*/

// Connexion active
$cookie_login = (isset($_COOKIE['login']) and !empty($_COOKIE['login'])) ? $s->
secure($_COOKIE['login']): FALSE;
$cookie_parse = (isset($_COOKIE['parse']) and !empty($_COOKIE['parse'])) ? 
$_COOKIE['parse']: FALSE;

// Essai de connexion
$login = (isset($_POST['login']) and !empty($_POST['login'])) ? $s->secure(
$_POST['login']):FALSE;
$pass = (isset($_POST['pass']) and !empty($_POST['pass'])) ? $_POST['pass']:
FALSE;

// Tentative de connexion
if($login and $pass)
    $erreur= ($s->check_connect($login$pass)) ? "Erreur de connexion":"";

// Vérification des cookies
if($cookie_login and $cookie_parse)
    $erreur= (!$s->check_cookie($cookie_login$cookie_parse)) ? 
"Erreur de cookie":"";

mysql_close();

// Tout le système est près, maitenant on peut afficher la page qu'on veut !    

// Logique: si $erreur n'existe pas, c'est que l'utilisateur n'a ni essayé de se
// connecter, ni de cookie, il se balade juste !
if(!isset($erreur)) {
    // On fait ce qu'on veut pour notre invité !
    // On va faire un formulaire de connexion
    ?>
    <form action="<?php print $_SERVER['SCRIPT_NAME']; ?>" method="post">
        <label for="login">Login: </label>
        <input type="text" name="login" /><br/>
        <label for="pass">Password: </label>
        <input type="password" name="pass" /><br/>
        <input type="submit" value="Connexion" />
    </form>
    <?php
} else {
    if(empty($erreur)) {
        // Notre utilisateur est réglo, on fait ce qu'on veut !
    } else {
        // Pas cool, il y a une erreur !
        print $erreur;
    }
}
?>

      Documentation officielle PHP

   php.net   Description Versions PHP OUTIL
   base64_encode Encode une chaîne en MIME base64 PHP 4, PHP 5, PHP 7
   die Alias de la fonction exit() PHP 4, PHP 5, PHP 7
   empty Détermine si une variable contient une valeur non nulle PHP 4, PHP 5, PHP 7
   explode Coupe une chaîne en segments PHP 4, PHP 5, PHP 7
   fclose Ferme un fichier PHP 4, PHP 5, PHP 7
   fgets Récupère la ligne courante sur laquelle se trouve le pointeur du fichier PHP 4, PHP 5, PHP 7
   file_exists Vérifie si un fichier ou un dossier existe PHP 4, PHP 5, PHP 7
   fopen Ouvre un fichier ou une URL PHP 4, PHP 5, PHP 7
   fputs Alias de fwrite() PHP 4, PHP 5, PHP 7
   isset Détermine si une variable est affectée PHP 4, PHP 5, PHP 7
   is_dir Indique si le fichier est un dossier PHP 4, PHP 5, PHP 7
   md5 Calcule le md5 d'une chaîne - (PHP 4, PHP 5, PHP 7, PECL hash:1.1-1.3) PHP 4, PHP 5, PHP 7
   mkdir Crée un dossier PHP 4, PHP 5, PHP 7
   mysql_close Ferme la connexion MySQL - (PHP 4, PHP 5, PECL mysql:1.0)   !  OBSOLÈTE en PHP 5.5.0, et ont été supprimées en PHP 7.0.0
   mysql_connect Ouvre une connexion à un serveur MySQL - (PHP 4, PHP 5, PECL mysql:1.0)   !  OBSOLÈTE en PHP 5.5.0, et ont été supprimées en PHP 7.0.0
   mysql_fetch_array - (PHP 4, PHP 5, PECL mysql:1.0)   !  OBSOLÈTE en PHP 5.5.0, et ont été supprimées en PHP 7.0.0
   mysql_query Envoie une requête à un serveur MySQL - (PHP 4, PHP 5, PECL mysql:1.0)   !  OBSOLÈTE en PHP 5.5.0, et ont été supprimées en PHP 7.0.0
   mysql_select_db Sélectionne une base de données MySQL - (PHP 4, PHP 5, PECL mysql:1.0)   !  OBSOLÈTE en PHP 5.5.0, et ont été supprimées en PHP 7.0.0
   preg_replace Rechercher et remplacer par expression rationnelle standard PHP 4, PHP 5, PHP 7
   print Affiche une chaîne de caractères PHP 4, PHP 5, PHP 7
   setcookie Envoie un cookie PHP 4, PHP 5, PHP 7
   sha1 Calcule le sha1 d'une chaîne de caractères - (PHP 4 >= 4.3.0, PHP 5, PHP 7, PECL hash:1.1-1.3) PHP 4, PHP 5, PHP 7
   time Retourne le timestamp UNIX actuel PHP 4, PHP 5, PHP 7
   unlink Efface un fichier PHP 4, PHP 5, PHP 7
   urlencode Encode une chaîne en URL PHP 4, PHP 5, PHP 7

Autres snippets


Système de frame simple

Compatibilité : PHP 4, PHP 5

Script permettant d'afficher une frame à partir de la variable GET envoyer dans l'adresse de la page centrale.

Vérification de numéros de sécurité sociale

Compatibilité : PHP 4, PHP 5

Vérifie qu'un numéro est bien un numéro de sécurité sociale française.

Sécurité captcha protection anti spam

Compatibilité : PHP 4, PHP 5

Il existe beaucoup de script de captcha sur le Net, des simples et des plus compliqués. Celui ci est simple à mettre en place.


  • Merci de signaler tout problème rencontré avec ce code

L'ajout de commentaire est libre et ne demande pas d'inscription

Suivez PHP Sources sur Twitter !

PHP débutant et initié 50 Tutoriel

Présentation de PHP

  Derniers scripts PHP

SuiteCRM 7.11.8

logo SuiteCRM
Langue langue en
Date  hier
Taille 56 Mo
Catégorie CRM

ZwiiCMS 9.2.05

logo ZwiiCMS
Langue langue fr
Date 23 Aout
Taille 3 Mo
Catégorie CMS

PHP File Manager

Script PHP / MySQL
Langue langue us
Date 21 Aout
Taille 0.47 Mo
Catégorie Administration

AfterLogic WebMail Lite 7 - Messagerie Web PHP...

Script PHP / MySQL
Langue langue us
Date 19 Aout
Taille 8 Mo
Catégorie Email-Emailing
avatar

Lovenunu

  17 Juil 2012

  SOURCE   Télécharger
5 595 Vues

Compatibilité

PHP 5+
PHP 7-