Sujet: demande de conseils - bddc : site pour les fans de comics
05/07/2006 @ 10:41:34: adhes: demande de conseils - bddc : site pour les fans de comics
Bonjour tout le monde, je sais pas si vous me connaissez, il m'arrive de laisser quelques commentaires dans les news. Si vous me connaissez pas, ben je me présente : moi c'est adhes :smile:

Voilà les présentations faites, j'en arrive déjà au but de mon message :
Je suis le webmaster du site http://comics.my-underworld.net , et là comme il est codé tout caca, je profite de mes vacances pour le refaire entièrement.

Le soucis, c'est que en développement web je n'ai pas tellement d'expérience, et je suis plutot autodidacte en ce domaine, alors je viens vers vous pour demander des conseils niveau facilité de codage / sécurité / performance...
Donc voilà ma première questions (d'autres viendront plus tard si je suis satisfait de vous :grin: ) :

Je compte faire un truc vraiment bien, avec enregistrement des membres et forum intégré et tout, alors je me demandais comment faire pour reconnecter l'utilisateur automatiquement lorsqu'il revient sur le site après plusieurs jour... On garde juste l'identifiant de l'utilisateur dans le cookie et on fait comme s'il était jamais parti, ou bien le login et le mot de passe et on refait la connexion ?
Je sais pas si c'est très sécurisé les cookies (je sais pas du tout comment ça fonctionne en fait), est-ce que c'est possible de lire les variables enregistrées dedans ? de les modifier ? de les copier sur un autre ordi ? niveau sécurité je fais comment moi ? (bon, y'a beaucoup de points d'intérrogations pour une première question, j'essaierai d'en faire moins la prochaine fois :boidleau: )


vala, merci d'avance pour vos réponses, bisous ciao :dawa:


edit: et tant que j'y suis, un md5 c'est bien pour cacher le mot de passe dans la base de données ou bien faut que j'utilise autre chose de plus sophistiqué ? (oui, je suis parano, mais quitte à tout refaire autant faire un bon truc quoi ^^)
05/07/2006 @ 10:58:14: ovh: demande de conseils - bddc : site pour les fans de comics
Cookie = fichier texte en clair sur le PC de l'utilisateur. Regarde les cookies des autres sites que tu visites (par exemple celui-ci :wink: ).

Sinon, pour ne pas réinventer la roue, n'oublie pas qu'il existe des tas de systèmes qui permettent de créer un site sans devoir tout programmer (CMS, gestionnaire de communautés, forums... ).

Un CMS qui a le vent en poupe actuellement c'est Joomla :
http://www.joomla.org/
Mais il en existe plein d'autres :wink:

Le MD5 n'est pas ce qu'il y a de mieux loin de là :wink: Mais bon pour pouvoir en tirer en parti, il faut que le pirate ait accès à la base de données. Mais utilise plutôt du SHA que du MD5 pour hasher les pass.
05/07/2006 @ 11:20:23: adhes: demande de conseils - bddc : site pour les fans de comics
en fait, ce qui m'interresse c'est de tout refaire moi même, pour avoir un truc qui colle exactement à ce dont j'ai besoin pour mon site, à savoir une encyclopédie des comics :smile: (en fait je suis en train de réinventer MediaWiki quoi ^^' lol), histoire de bien mieux maitriser le php quand j'aurai fini que maintenant, et de pouvoir dire que j'en suis capable... (et d'occuper mes vacances aussi :smile: )

Donc pour les cookies, ça confirme ce que je pensais : faut surtout pas lui faire confiance pour garder un secret :ohwell: vais réfléchir à tout ça ^^

merci pour ta réponse :wink:
05/07/2006 @ 11:49:50: ovh: demande de conseils - bddc : site pour les fans de comics
Pour les cookies> si tu peux, mais pas pour stocker des valeurs en clair évidemment, mais un identifiant utilisateur hashé pourquoi pas. C'est ce que font tous les forums je pense.
Je viens de vérifier pour un forum VBulletin (système considéré comme un des meilleurs) : le site t'envoit un cookie avec ton identifiant utilisateur en clair (id numérique), et ton password hashé. Si le hash du cookie correspond au hash stocké dans la DB c'est bon tu es auto-logué.
05/07/2006 @ 14:49:55: max: demande de conseils - bddc : site pour les fans de comics
N'oublions pas que nous pouvons saler nos 'hash'.

Exemple, plutot que md5($motdepasse), préférez md5($uid.$motdepasse) ou md5($phrasemagique.$motdepasse).

05/07/2006 @ 15:18:44: ovh: demande de conseils - bddc : site pour les fans de comics
Absolument, c'est déjà plus sûr :smile: Et c'est ce que fait vbulletin :wink:
05/07/2006 @ 16:07:03: adhes: demande de conseils - bddc : site pour les fans de comics
merci bien tous les deux, je vais faire comme ça :smile:

j'aime bien l'astuce de max, c'est tout con mais j'y aurais pas pensé tout seul ^^
Retour