Affichage hiérarchique

InstinctHack · (Modification du message : 19-11-2012, 19h08 par InstinctHack.)

Bonjour, je développe actuellement mon petit site et je veux faire une inscription. Pour ça j'ai besoin d'une clef d'activation qui se génèrerait au moment de l'inscription et qui enverrait un mail de confirmation.

Voici la page d'inscription : http://pastebin.com/VbF4fzXp
Et voici la page qui a pour but d'activer le compte : http://pastebin.com/Ee9gXXJE
(je suis désolé pour l'indentation qui laisse vraiment à désirer mais les deux pages sont en plein chantier)

En fait, le mail s'envoie très bien avec le lien pour activer.
Sauf que le problème se situe au niveau de la génération de la clef.
A l'inscription elle ne s'enregistre pas dans la table.

Voici le code que j'utilise pour créer et inscrire la clef d'activation dans la table :

Code PHP :
// Génération de la clef d'activation
$caracteres = array("a", "b", "c", "d", "e", "f", 0, 1, 2, 3, 4, 5, 6, 7, 8, 9);
$caracteres_aleatoires = array_rand($caracteres, 8);
$clef_activation = "";
 
foreach($caracteres_aleatoires as $i)
{
$clef_activation .= $caracteres[$i];
}
 
// Création du compte utilisateur
$result = mysql_query("
INSERT INTO comptes_utilisateurs(
Nom_Utilisateur
, Mot_de_Passe
, Adresse_Email
, Date_Inscription
, Clef_Activation
)
VALUES(
'" . $_POST["tb_nom_utilisateur"] . "'
, '" . md5($_POST["tb_mot_de_passe"]) . "'
, '" . $_POST["tb_adresse_email"] . "'
, '" . time() . "'
, '" . $clef_activation . "'
)
"); 

L'erreur se situe bien ici ? Comment puis-je faire pour la résoudre ?
Bien à vous, saitek fier membre.

***CyberSee*** · 07-12-2011, 02h36

Pour la clée, ce serais pas mal plus simple de faire ça

Code PHP :
$clef_activation = md5(time()); // 32 characters long 

ou si tu as peut que 2 personnes s'incrive a la même miliseconde (ce qui est trèes peu probable lol)

Code PHP :
$clef_activation = md5( uniqid() );  // 32 characters long
// ou
$clef_activation = sha1( uniqid() );  // 40 characters long 

Saitek · (Modification du message : 07-12-2011, 15h11 par Saitek.)

Merci pour ta réponse CyberSee, oui effectivement ce serait plus simple. Cependant je n'ai pas besoin de crypter la clef. Je l'ai ainsi réduite à 8 caractères, ça me semblait suffisant.

Je vais tout de même tester ce code, merci Smile

Y'a des erreurs dans mon code ? Ou ça paraît bon ? Vous savez d'où peut venir le fait que la clef ne s'inscrive pas dans la table ?

EDIT : super la clef d'activation s'inscrit dans la table. Par contre je tombe toujours sur une 404 avec le lien...

supersnail · (Modification du message : 09-12-2011, 10h39 par supersnail.)

Bonjour,

Vérifie que ton lien pointe réellement vers ta page (ce qui ne doit pas être le cas, vu que ton serveur renvoie un 404).

Ta page de validation est bien nommée activer-compte-utilisateur.php et se situe-elle bien à la racine du site? Ton lien te paraît cohérent? Wink

Saitek · 10-01-2012, 14h14

Je vous prie de m'excuser pour la lenteur de ma réponse.
Ma page activer-compte-utilisateur.php n'était effectivement pas à la racine.
Erreur corrigée depuis, même si entre temps j'ai opté pour un système pré-fait.
Merci à toi aaSSfxxx Smile

teach · 12-01-2012, 01h04

CyberSee a écrit :Pour la clée, ce serais pas mal plus simple de faire ça

Code PHP :
$clef_activation = md5(time()); // 32 characters long

Lol @CyberSee j'espere que t'ecris pas ça dans tes codes en production ou tu vas te faire owner matin midi et soir.
Qu'est ce qui empeche un autre utilisateur de generer la meme clé sachant que md5() est deterministe et que la valeur de time() à ce moment est publique? Wink

***CyberSee*** · 12-01-2012, 05h47

Dans le contexte d'un petit site tel que celui de Saitek, les chances que 2 personnes s'inscrivent à la même micro seconde sont assez mince et ce même s’ils sont en contact et ce mettent d'accord pour peser en même temps lol Mais pour répondre a ta question, non je n'utilise pas time() mais plutôt l'alternative que j'ai citée plus haut ;-)

Saitek · 12-01-2012, 20h07

Qui te dit que j'ai un petit site :p
Je prépare secrètement le facebook de demain :eek:

teach · 12-01-2012, 21h42

CyberSee a écrit :Dans le contexte d'un petit site tel que celui de Saitek, les chances que 2 personnes s'inscrivent à la même micro seconde sont assez mince et ce même s’ils sont en contact et ce mettent d'accord pour peser en même temps lol Mais pour répondre a ta question, non je n'utilise pas time() mais plutôt l'alternative que j'ai citée plus haut ;-)

A premiere vue, l'alternative que tu proposes n'est toujours pas plus secure. uniqid() n'est pas si differend sous le capot que time(). Les 8 premiers caractères retournés correspondent simplement à la valeur de time() en hexa et les 5 derniers correspondent à la precision en millisecondes. Comme je l'ai dit plus haut, vu que la date à laquelle le clé à été generé est connu de l'attaquant, pour qu'il puisse regenerer la même clé il ne lui suffit que de connaitre les 5 derniers caractères restant. 5 caractères hexa c'est très facilement bruteforcable (de l'ordre de quelques minutes sur une machine courante).
L'avantage de pouvoir regenerer une clé d'activation inconnu devient vite évident si tu considère les systèmes de reinitialisation de mot de passe.
Dans un souci de completude, la meilleur solution serait d'utilliser uniqid avec son premier paramètre et surtout son second parametre à true pour plus d'entropie

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler