hi!
because i use galette-sport for a federation, i wanted to secure the
passwords, so i have modified some files
maybe you are intersted by that work, so i send you the how-to file!
Bonjour!
j'utilise galette pour gérer les adhérents d'une fédé, et j'ai remarqué que
les mots de passe n'étaient pas cryptés, alors j'ai fait les modifs
nécessaires pour que tout fonctionne, avec des mots de passe en md5, et non
en clair!
je vous envoie le how-to, si vous y trouvez des bugs dites le moi! (j'ai
testé sur galette sport 0.62.2 avant install, et après install)
le deuxieme fichier est pour coder tous les mdp de la base de donnée.
à bientôt!
--
Gaël
Cette adresse email fonctionne aussi avec MSN Messenger! ([EMAIL PROTECTED])
pass2md5.php
Description: Binary data
ajout du codage des mots de passe dans galette-sport
par gagou9 - [EMAIL PROTECTED]
for english poeple : ouvrir means open, chercher means find, remplacer par
means replace by and fermer means close!
[ouvrir] ./install/index.php
[chercher]
$default = INSERT INTO .$_POST[install_dbprefix].preferences VALUES
(19,'pref_admin_pass',.$DB-qstr($_POST[install_adminpass]).);
[remplacer par] (on rajoute md5([...]) )
$default = INSERT INTO .$_POST[install_dbprefix].preferences VALUES
(19,'pref_admin_pass',.$DB-qstr(md5($_POST[install_adminpass])).);
[fermer] ./install/index.php
[ouvrir] ./install/sql/mysql.sql
[chercher]
mdp_adh varchar(20) NOT NULL default '',
[remplacer par]
mdp_adh varchar(32) NOT NULL default '',
[fermer] ./install/sql/mysql.sql
[ouvrir] ./install/sql/pgsql.sql
[chercher]
mdp_adh character varying(20) DEFAULT '' NOT NULL,
[remplacer par]
mdp_adh character varying(32) DEFAULT '' NOT NULL,
[fermer] ./install/sql/pgsql.sql
[ouvrir] ./ajouter_adherent.php
[chercher]
elseif ($fieldname==mdp_adh)
{
if (strlen($post_value)4)
$error_detected .= LI._T(- Le mot de passe doit
être composé d'au moins 4 caractères !)./LI;
else
$value = $DB-qstr($post_value, true);
}
[remplacer par] (on rajoute md5([...]) et on change la détéction de la taille)
elseif ($fieldname==mdp_adh)
{
if (strlen($post_value)==0) { // si le mdp n'a pas été renseigné, il
doit être inchangé
// du coup c'est un peu relou... m'enfin
$req = SELECT mdp_adh FROM .PREFIX_DB.adherents WHERE
id_adh='.$id_adh.';
$result = $DB-Execute($req);
$mdp_adherent = $result-fields[0];
$value = $DB-qstr($mdp_adherent, true);
}
else {
if (strlen($post_value)4) //si le mdp a ete renseigne (donc
nouveau mdp)
$error_detected .= LI._T(- Le mot de passe doit
être composé d'au moins 4 caractères !)./LI;
else
$value = $DB-qstr(md5($post_value), true);
}
}
[chercher]
TH id=libelle ? echo $mdp_adh_req ?? echo _T(Mot de passe :);
?
[remplacer par]
TH id=libelle ? echo $mdp_adh_req ?? echo _T(bNouveau/b mot
de passe :); ?
[chercher]
TDINPUT type=text name=mdp_adh value=? echo $mdp_adh; ?
maxlength=? echo $mdp_adh_len; ?
[remplacer par]
TDINPUT type=text name=mdp_adh value= maxlength=? echo
$mdp_adh_len; ?
[fermer] ./ajouter_adherent.php
[ouvrir] ./voir_adherent.php
[chercher]
TD bgcolor=#EE? echo $login_adh; ?/TD
TD bgcolor=#FFB? echo _T(Mot de passe :); ?/Bnbsp;/TD
TD bgcolor=#EE? echo $mdp_adh; ?/TD
/TR
[remplacer par]
TD bgcolor=#EE colspan=3? echo $login_adh; ?/TD
/TR
[fermer] ./voir_adherent.php
[ouvrir] ./index.php
[chercher]
if ($_POST[login]==PREF_ADMIN_LOGIN
$_POST[password]==PREF_ADMIN_PASS)
[remplacer par]
if ($_POST[login]==PREF_ADMIN_LOGIN
md5($_POST[password])==PREF_ADMIN_PASS)
[chercher]
AND mdp_adh= . txt_sqls($_POST[password]);
[remplacer par]
AND mdp_adh= . txt_sqls(md5($_POST[password]));
[fermer] ./index.php
[ouvrir] ./lostpassword.php
[chercher]
if( $email_adh!= )
{
$req = SELECT mdp_adh from .PREFIX_DB.adherents
where login_adh=.txt_sqls($login_adh);
$result = $DB-Execute($req);
if (!$result-EOF)
$mdp_adh = $result-fields[0];
$mail_subject = _T(Vos identifiants Galette);
$mail_text = _T(Bonjour,).\n;
$mail_text .= \n;
$mail_text .= _T(Quelqu'un (sûrement vous) a demandé
que l'on vous renvoie votre mot de passe.).\n;
$mail_text .= \n;
$mail_text .= _T(Veuillez vous identifier à cette
adresse :).\n;
$mail_text .=
http://.$_SERVER[SERVER_NAME].dirname($_SERVER[REQUEST_URI]).\n