HTACCESS + BDD

[wland]

Bonjour,

je souhaiterais mettre un HTACCESS qui utiliserais les Logins et mots de passes de mes membres inscrits

J'ai un PHPBB comme celui-ci

Est ce possible ?

[blankoworld]

Pourquoi ne pas utiliser les variables SESSION et une requête SQL sur ta base de données ?
Sinon tu peux utiliser les objets PHP, il paraît que l'on peut arriver à de très bon résultats en créant un objet contenant l'identifiant et le mot de passe de l'utilisateur.

Tu fais un accès à une zone privée je suppose .
Je suis aussi en train de voir à faire ça, mais je n'ai pas trop le temps de m'y attarder donc je n'ai QU'un .htaccess, sans plus.

[coyote89]

A mon avis, tu ne peux pas avec un simple htaccess récupérer tes variables de phpbb.
Il te faut utiliser les sessions.

[wland]

oui c'est deja privée, mais des ptits malin s'amuse avec Brutus/AET...

Enfin bref, un HTACCESS semble plus securisant.

Pourquoi ne pas utiliser les variables SESSION et une requête SQL sur ta base de données ?

Sinon tu peux utiliser les objets PHP, il paraît que l'on peut arriver à de très bon résultats en créant un objet contenant l'identifiant et le mot de passe de l'utilisateur.

Tu pourrais etre plus clair sur ces 2 points, jsuis pas trop a l'aise en PHP...

merci

[blankoworld]

Pourquoi ne pas utiliser les variables SESSION et une requête SQL sur ta base de données ?

Sinon tu peux utiliser les objets PHP, il paraît que l'on peut arriver à de très bon résultats en créant un objet contenant l'identifiant et le mot de passe de l'utilisateur.

Tu pourrais etre plus clair sur ces 2 points, jsuis pas trop a l'aise en PHP...

merci

Sur le premier point je ne l'ai pas encore tout à fait utilisé, mais il semblerait que ce soit nommé une Gestion d'utilisateur.
Un utilisateur s'identifie quelque part sur le site (à l'aide de deux champs).
On fait une requête, si l'utilisateur et le mot de passe correspondent, on enregistre dans les variables globales SESSION des paramètres spécifiques. Bref je crois que c'est exactement ce que fait PHPbb2. Il doit bien utiliser une technique pour vérifier que tout le monde soit identifié.
Par contre faire une requête sur la base de données, et récupérer le tout pour le mettre dans un fichier .htaccess, ça semble pas mal du tout.

Pour le second point, les objets PHP je débute, donc je ne suis pas totalement dedans.
J'arrive à créer des objets selon des classes, à les utiliser, faire de l'héritage, des redéfinitions, peut être une surcharge etc ...
Mais rien de plus sérieux.

En gros, ce que tu désires, c'est supprimer le "login" du forum. Mettre le forum dans un dossier, et créer un long/mirobolant fichier .htaccess pour les membres.
Ainsi il faudrait modifier ton Phpbb2 pour enlever tout ce qui est connexion et identification, et faire un formulaire d'inscription à ta sauce. Histoire de remplir le fichier .htaccess toi même.
En gros ça serait comme ça :
¤ Je me connecte au site
¤ Il me montre une fenêtre avec identifiant/mot de passe (je pense que tu as déjà vu un accès à un dossier protégé par .htaccess)
¤ Je vois que je ne peux pas me connecter, soit j'abandonne, soit je lis sur le site principal qu'il faut s'inscrire.
¤ Je m'inscris à l'aide d'un formulaire
¤ Soit le formulaire est tout de suite accepté et tu crée une requête pour ajouter la ligne identifiant / mot de passe dans le .htaccess, soit ça t'envoie un courriel et tant que tu n'ajoutes pas toi même l'identifiant et le mot de passe, la personne ne peut pas accéder
¤ Ensuite je me connecte au site avec mon mot de passe (et mon identifiant, cela va de soit).

Seulement tu as une contrainte : comment vas tu enregistrer les données des utilisateurs ? C'est là que c'est ennuyeux .

Finalement rien ne vaut un site perso, on perd un temps fou, mais aucun journal au monde ne publie des renseignements concernant les failles de ton système, selon la version du système.

Dans la vie il faut choisir (il ne faut pas non plus voir le mal partout).

[wland]

oui alors tu as bien compris ce que je souhaite.

En faite, je souhaite laisser comme c'est actuellement

Juste ajouter un HTACCESS dès l'entrée dans le dossier ou est le Forum (phpbb2 par defaut).

Et au cas ou la personne clic sur Annuler (a l'apparition de la fenetre), soit redirigé vers << MOT DE PASSE OUBLIE >>

Le tout est de configurer le HTACCESS pour qu'il prenne les infos des membres dans la BDD

Pensez vous que ce soit ce qu'il fasse mettre ?

Code: Tout sélectionner

session_start();
if (!isset($_SESSION['phpbb_to_pfc_nickname']))
{
  define('IN_PHPBB', true);
  $phpbb_root_path = './'; // adjust this path to your forum installation root
  include($phpbb_root_path . 'extension.inc');
  include($phpbb_root_path . 'includes/config.inc.'.$phpEx);
  include($phpbb_root_path . 'common.'.$phpEx);
  $userdata = session_pagestart($user_ip,PAGE_INDEX);
  if ($userdata['user_id'] == -1) // Anonymouse (not logged in the forum)
    $userdata['username'] = ''; // the user will choose a fresh nickname
  $_SESSION['phpbb_users'] = $userdata['username'];
}

C'est ce que j'utilise pour le CHAT (http://www.phpfreechat.net/), pour que les membres aient leurs pseudo dès qu'ils s'y connecte.
Sauriez vous le modifier ? moi j'y connais pas grand chose

[blankoworld]

oui alors tu as bien compris ce que je souhaite.

C'est déjà ça .

Juste ajouter un HTACCESS dès l'entrée dans le dossier ou est le Forum (phpbb2 par defaut).

C'est de l'ordre du possible .

Et au cas ou la personne clic sur Annuler (a l'apparition de la fenetre), soit redirigé vers << MOT DE PASSE OUBLIE >>

Ca par contre je ne m'y connais pas assez pour te dire si oui ou non c'est possible !

Le tout est de configurer le HTACCESS pour qu'il prenne les infos des membres dans la BDD

En effet, et pour cela il faudrait déjà connaître le nom de la base de données, de la table et celle des deux colonnes requises.
Ensuite, et là ça va peut être se corser, le mot de passe de PHPbb2 est sûrement crypté ... et s'il l'est, ce serait dommage qu'il soit dans un autre encodage (ou autre cryptage) que celui conçu par le .htpasswd :s.
Ah ça me fait penser qu'en fait nous ne voulons pas modifier un .htaccess, mais bel et bien un .htpasswd ! (chez moi ils ont des noms farfelus, vu que je gère moi même le serveur Apache).

Pensez vous que ce soit ce qu'il fasse mettre ?

Oui on doit chercher dans la BDD et mettre ce qu'il faut dans le .htpasswd.

Code: Tout sélectionner

session_start();
if (!isset($_SESSION['phpbb_to_pfc_nickname']))
{
  define('IN_PHPBB', true);
  $phpbb_root_path = './'; // adjust this path to your forum installation root
  include($phpbb_root_path . 'extension.inc');
  include($phpbb_root_path . 'includes/config.inc.'.$phpEx);
  include($phpbb_root_path . 'common.'.$phpEx);
  $userdata = session_pagestart($user_ip,PAGE_INDEX);
  if ($userdata['user_id'] == -1) // Anonymouse (not logged in the forum)
    $userdata['username'] = ''; // the user will choose a fresh nickname
  $_SESSION['phpbb_users'] = $userdata['username'];
}

Ce code me paraît non disposé à faire ce que nous voudrions.
En fait il faut déjà se poser la question suivante : A quel moment devons nous exécuter le code .php permettant de mettre à jour la base de données ? La réponse, selon moi est effectivement au moment de la demande d'accès au dossier FORUM. Ainsi je crois qu'il faille TESTER (je dis tester car je doute qu'Apache fasse une analyse du fichier PHP mais bon sait on jamais) d'ajouter deux fichiers :
¤ Un fichier .htaccess (qui définit les règles PRINCIPALES) qui renvoie au fichier .htpasse.php .
¤ Dans le fichier .htpasse.php (nomme le autrement si tu veux, mais gardes bien .ht devant, et .php derrière) il faut mettre notre script PHP qui va ressortir au final des lignes (une par utilisateur) avec un identifiant et un mot de passe, séparés par un double point.

C'est ce que j'utilise pour le CHAT (http://www.phpfreechat.net/), pour que les membres aient leurs pseudo dès qu'ils s'y connecte.
Sauriez vous le modifier ? moi j'y connais pas grand chose

A la différence que là ils sont DEJA connectés à ton forum ce me semble ... donc cela ne sert pas à grand chose. Les variables sessions étant initialisées au moment de la connexion.
Il faut se rendre compte aussi d'une chose : le fait d'utiliser un fichier .htaccess comme tu le fais va obliger les utilisateurs à tapper deux fois leur identifiant et leur mot de passe. Et cela va aussi bloquer tout autre membres de venir s'incrire sur le forum (bah oui, à ton avis comment je fais pour m'inscrire à ton forum si je dois au départ fournir un mot de passe avec un identifiant ?).

[wland]

Il faut se rendre compte aussi d'une chose : le fait d'utiliser un fichier .htaccess comme tu le fais va obliger les utilisateurs à tapper deux fois leur identifiant et leur mot de passe.

Oui je suis au courant qu'ils devront rentrer 2 fois leurs login et mot passe.
Enfin, ya la possibilité de cocher la case >> ce souvenir...

Et cela va aussi bloquer tout autre membres de venir s'incrire sur le forum (bah oui, à ton avis comment je fais pour m'inscrire à ton forum si je dois au départ fournir un mot de passe avec un identifiant ?).

Les inscriptions sont deja desactivées.

Je te laisse voir par toi meme > . <
Aucun acces n'est possible sans Login & Mot de passe