Script d'identification

user2home · 16 Juin 2011

Bonjour à tous, j'ai un petit soucis sur un formulaire d'identification, quelqu'un peut il m'aider à en trouver l'origine, je sèche complètement.

Le script me dit que les logins sont incorrects, j'ai bien ma base de donnée avec ma table login et mon MDP en mD5 dedans.. :roll:

Merci par avance

Code:

<?php
$connexion = mysql_connect("localhost","root","");
if (!$connexion)
{
die('Connexion impossible : ' . mysql_error());
}
mysql_select_db("saslink", $connexion);
$loginpost = mysql_real_escape_string($_POST['login']);
$pwdpost=mysql_real_escape_string(md5($_POST['pwd']));
$sql = "SELECT id, login, mdp FROM account WHERE login='" . $loginpost . "' AND mdp='" . $pwdpost . "';";
$resultat = mysql_query($sql);
$ligne = mysql_fetch_array($resultat, MYSQL_ASSOC);
$login_db = $ligne['login'];
$pwd_db = $ligne['mdp'];

	  
    if (isset($_POST['login']) && isset($_POST['pwd'])) { 
     
          if ($login_db == $loginpost && $pwd_db == md5($pwdpost)) { 
                session_start (); 
                $_SESSION['login'] = $_POST['login']; 
                $_SESSION['pwd'] = $_POST['pwd'];
				$_SESSION['id']	= $ligne['id'];
                $_SESSION['auth'] = "ok";
		header("Location: index.php?page=raremagic");
          } 
          else { 
             echo 'Le mot de pass ou le Nom d\'utilisateur est incorrect';
          }  
    }  
    else { 
          echo 'Veuillez completez tout le formulaire';  
    }  
    ?>

Blount · 16 Juin 2011

Tu as compris ce que fais le code ? Ça n'en donne pas l'impression en le voyant :/

La requête elle même suffit à vérifier le login et mot de passe, pour avoir en plus une condition ?

(il faudrait mettre

PHP:

quand tu colles du PHP dans le forum ;) )

user2home · 16 Juin 2011

Je l'ai écrite donc oui =)

Je n'ai pas compris la fin de ton message, avec la requête plus je vérifie l'enssemble mais je dois avoir un soucis, car il me retourne toujours une erreur d'identifiant

forty · 16 Juin 2011

Blount t'indique que ton select vérifie déjà le mot de passe mais tu fais quand même un test après.

Normalement tu devrais rechercher dans la base le mot de passe à partir du login. Si le login n'existe pas tu l'indiques et sinon tu vérifies que le mot de passe est correct.

bgdc · 16 Juin 2011

Si le mot passe est sauvegardé en MD5 dans ta base (ce que j’espère), ta requete devrait plutôt ressembler à un truc comme ça :

PHP:

$sql = "SELECT id, login, mdp FROM account WHERE login='" . $loginpost . "' AND mdp='" . md5($pwdpost) . "';";

Blount · 16 Juin 2011

Il applique déjà la fonction md5() à la ligne du dessus.
De plus, on ne met pas les « ; » dans les requêtes.

Mais il y a plein de truc qui ne vont pas dans son code.

Par exemple, il fait un « isset » sur les $_POST pour vérifier si les variables existes alors qu'il les utilise déjà plus haut …
Il fait un md5 sur $_POST['pwd'] pour mettre le résultat $pwdpost et plus bas, il refait un md5 dessus pour le comparer avec la valeur de la base de données.

Personnellement, quand je vois un code de ce genre, je me dis qu'il n'y a pas de réflexion derrière. J'ai l'impression qu'il met des fonctions ici et là et « prie » pour que ça passe sans savoir pourquoi.

Je peux pondre un code tout corrigé, mais ça apporterait quoi ? En programmation, il faut une certaine logique, et se dire « on vérifie l'existence des variables avant de les utiliser » en est la base.

Désolé si je peux paraître un peu brut dans ce que j'écris mais bon, c'est la réalité des choses.

bgdc · 16 Juin 2011

Blount a dit:

Il applique déjà la fonction md5() à la ligne du dessus.
Cliquez pour agrandir...

Bien vu, je retourne faire la sieste

user2home · 16 Juin 2011

Blount a dit:

Je peux pondre un code tout corrigé,
Cliquez pour agrandir...

Je ne l'ai pas demandé :wink:

Blount a dit:

Désolé si je peux paraître un peu brut dans ce que j'écris mais bon, c'est la réalité des choses.
Cliquez pour agrandir...

Ya pas de soucis je vais refaire le code histoire d'être "logique" :wink:

user2home · 17 Juin 2011

Me revoici avec le code "corrigé", j'ai en compte tes notes si tu trouves encore des incohérences je ne comprend pas je me suis vraiment penché sur le sujet :wink:

Mais j'ai toujours un soucis avec toujours un "'Le mot de pass ou le Nom d\'utilisateur est incorrect" à chaque tentative de connexion. :?

PHP:

    <?php $connexion = mysql_connect("localhost","root",""); if (!$connexion) { die('Connexion impossible : ' . mysql_error()); } mysql_select_db("saslink", $connexion);     if (isset($_POST['login']) && isset($_POST['pwd'])) { // test d'existence des variables      $loginpost = mysql_real_escape_string($_POST['login']);//verifie l'utilisation de caracteres speciaux $pwdpost=mysql_real_escape_string(md5($_POST['pwd']));//je passe le $_POST en md5 pour le comparer au celui de la DB qui en md5 $sql = "SELECT id, login, mdp FROM account WHERE login='" . $loginpost . "' AND mdp='" . $pwdpost . "'"; // je selectionne mes identifiant dans ma DB $resultat = mysql_query($sql); $ligne = mysql_fetch_array($resultat, MYSQL_ASSOC); $login_db = $ligne['login'];//je sors le login $pwd_db = $ligne['mdp'];//je sors le mdp                 if ($login_db == $loginpost && $pwd_db == md5($pwdpost)) { //je compare mes logs récuperer en $_POST et ceux de la DB                 session_start ();                  $_SESSION['login'] = $_POST['login'];                  $_SESSION['pwd'] = $_POST['pwd'];                 $_SESSION['id']    = $ligne['id'];                 $_SESSION['auth'] = "ok";         header("Location: index.php?page=raremagic");           }            else {               echo 'Le mot de pass ou le Nom d\'utilisateur est incorrect';           }       }       else {            echo 'Veuillez completez tout le formulaire';       }       ?>

bgdc · 17 Juin 2011

Allez je vais retentez un truc.

Ce test pourquoi y'a encore une fois le MD5 puisque tu l'a deja fait plus haut ?

PHP:

$pwd_db == md5($pwdpost) 

Blount · 17 Juin 2011

Bon, c'est déjà mieux dans le bon ordre.

Premièrement bgdc a raison sur la double utilisation de md5 (tu hashes le hash …). Mais je l'avais déjà signalé dans mon précédent poste.

Sinon, pour revenir sur la logique. Tu fais ta requête SQL de tel sorte qu'elle récupère l'id, le login et le mdp de l'utilisant ayant pour login « $loginpost » et le mot de passe « $pwdpost ».
Si ta requête retourne un résultat, alors c'est que la personne a entrée les bons identifiants. Tu le sais déjà avec la requête !!

Tu dois juste vérifier que la requête retourne un résultat, et pour ce faire, tu regardes si « mysql_fetch_array » retourne « false ».

En claire :

PHP:

 <?php $connexion = mysql_connect("localhost","root",""); if (!$connexion) { die('Connexion impossible : ' . mysql_error()); } mysql_select_db("saslink", $connexion); if (isset($_POST['login']) && isset($_POST['pwd'])) { // test d'existence des variables $loginpost = mysql_real_escape_string($_POST['login']);//verifie l'utilisation de caracteres speciaux $pwdpost=mysql_real_escape_string(md5($_POST['pwd']));//je passe le $_POST en md5 pour le comparer au celui de la DB qui en md5 $sql = "SELECT id, login, mdp FROM account WHERE login='" . $loginpost . "' AND mdp='" . $pwdpost . "'"; // je selectionne mes identifiant dans ma DB $resultat = mysql_query($sql); $ligne = mysql_fetch_array($resultat, MYSQL_ASSOC); $login_db = $ligne['login'];//je sors le login $pwd_db = $ligne['mdp'];//je sors le mdp if ($ligne !== false) { session_start (); $_SESSION['login'] = $_POST['login']; $_SESSION['pwd'] = $_POST['pwd']; $_SESSION['id'] = $ligne['id']; $_SESSION['auth'] = "ok"; header("Location: index.php?page=raremagic"); } else { echo 'Le mot de pass ou le Nom d\'utilisateur est incorrect'; } } else { echo 'Veuillez completez tout le formulaire'; } 

Sinon, pour « $_SESSION['auth'] = "ok"; », penses tu que ce soit utile ? Tu veux veux savoir si l'utilisateur est connecté, il suffit de tester l'existence de $_SESSION['id'] (par exemple).

user2home · 17 Juin 2011

Résolu, je mettais deux fois la fonction MD5, la fonction md5 dans le if était en trop. :wink:

PHP:

if ($login_db == $loginpost && $pwd_db == md5($pwdpost))

forty · 17 Juin 2011

c'est plutôt :

Code:

...
    if ($ligne !== false) {
        $login_db = $ligne['login'];//je sors le login
        $pwd_db = $ligne['mdp'];//je sors le mdp
 ...

user2home · 17 Juin 2011

forty a dit:
c'est plutôt :
Code:
...
    if ($ligne !== false) {
        $login_db = $ligne['login'];//je sors le login
        $pwd_db = $ligne['mdp'];//je sors le mdp
 ...
Cliquez pour agrandir...
Et quel est l’intérêt de ceci ? :? Si ma requête est bonne ca sera toujours true ?

forty · 17 Juin 2011

$ligne['login'] n'a de valeur que si $ligne est différent de false. Avec le code donné par Blount au dessus on récupère la valeur avant le test d'existence ce qui n'est pas correct.

Blount · 17 Juin 2011

forty a dit:
c'est plutôt :
Code:
...
 if ($ligne !== false) {
 $login_db = $ligne['login'];//je sors le login
 $pwd_db = $ligne['mdp'];//je sors le mdp
 ...
Cliquez pour agrandir...
Exacte.
Et je dirais même plus : ça n'a aucun sens.

Pourquoi assigner les valeurs à de nouvelles variables alors qu'il suffit d'exploiter $ligne ?

Voici une version allégée :

PHP:

 <?php session_start(); // je me préfère bien en haut $connexion = mysql_connect("localhost","root",""); if (!$connexion) { die('Connexion impossible : ' . mysql_error()); } mysql_select_db("saslink", $connexion); if (isset($_POST['login']) && isset($_POST['pwd'])) { $resultat = mysql_query("SELECT id, login, mdp FROM account WHERE login = '".mysql_real_escape_string($_POST['login'])."' AND mdp = '".md5($_POST['pwd']). "'"); // vérification login et mot de passe existant. if (false !== $ligne = mysql_fetch_array($resultat, MYSQL_ASSOC)) { // une entrée existe ? $_SESSION['login'] = $ligne['login']; $_SESSION['pwd'] = $ligne['pwd']; $_SESSION['id'] = $ligne['id']; header("Location: index.php?page=raremagic"); } else { echo 'Le mot de pass ou le Nom d\'utilisateur est incorrect'; } } else { echo 'Veuillez completez tout le formulaire'; }  

J'enlève des variables inutiles ($sql, $_SESSION['auth'], etc.) avec quelques aménagements.

user2home · 17 Juin 2011

Bien compris merci à tout les deux

Similar Threads - Script identification	Forum	Date
Meta description différente de celle choisie (Rank Math + Qwant)	Problèmes de référencement spécifiques à vos sites	25 Juillet 2022
Pages dynamiques avec Javascript ?	Développement d'un site Web ou d'une appli mobile	14 Juillet 2022
Balise méta description : faut-il insérer son mot-clé ?	Débuter en référencement	2 Juillet 2022
[JavaScript Array] modifier un code html sans le supprimer/recréer	Développement d'un site Web ou d'une appli mobile	20 Juin 2022
Lien dans la description d'une vidéo YouTube...quel est prix raisonnable par mois ?	YouTube, Google Images et Google Maps	16 Juin 2022
Le javascript protège-t-il du copiage HTML ?	Développement d'un site Web ou d'une appli mobile	9 Mai 2022
Sites de scripts PHP, jQuery, Ajax, etc.	Le café de WebRankInfo	20 Mars 2022
Tester une URL avec Javascript	Développement d'un site Web ou d'une appli mobile	25 Février 2022
jour en javascript	Développement d'un site Web ou d'une appli mobile	24 Février 2022
Search Console Probleme Meta title & Meta description fiche produit	Référencement Google	27 Janvier 2022
référencement site full javascript	Débuter en référencement	17 Janvier 2022
Script "haut de page".	Développement d'un site Web ou d'une appli mobile	4 Janvier 2022
Détecter arrêt user d'un script PHP ?	Développement d'un site Web ou d'une appli mobile	28 Décembre 2021
Astuce Référencement Playstore et pré inscription	Référencement Google	17 Décembre 2021
Problèmes dans le méta-titre / description + Sitemap	Référencement Google	29 Novembre 2021
Même contenu descriptif vidéo Youtube et fiche produit site	Débuter en référencement	26 Novembre 2021
Texte de meta description erroné	Demandes d'avis et de conseils sur vos sites	25 Novembre 2021
Google réécrit la meta description	Référencement Google	21 Novembre 2021
Duplicate content sur la meta description	Débuter en référencement	14 Novembre 2021
Combien de mots pour des descriptions de fiches produit	Référencement Google	5 Novembre 2021