Script d'identification

user2home · 16 Juin 2011

Bonjour à tous, j'ai un petit soucis sur un formulaire d'identification, quelqu'un peut il m'aider à en trouver l'origine, je sèche complètement.

Le script me dit que les logins sont incorrects, j'ai bien ma base de donnée avec ma table login et mon MDP en mD5 dedans.. :roll:

Merci par avance

Code:

<?php
$connexion = mysql_connect("localhost","root","");
if (!$connexion)
{
die('Connexion impossible : ' . mysql_error());
}
mysql_select_db("saslink", $connexion);
$loginpost = mysql_real_escape_string($_POST['login']);
$pwdpost=mysql_real_escape_string(md5($_POST['pwd']));
$sql = "SELECT id, login, mdp FROM account WHERE login='" . $loginpost . "' AND mdp='" . $pwdpost . "';";
$resultat = mysql_query($sql);
$ligne = mysql_fetch_array($resultat, MYSQL_ASSOC);
$login_db = $ligne['login'];
$pwd_db = $ligne['mdp'];

	  
    if (isset($_POST['login']) && isset($_POST['pwd'])) { 
     
          if ($login_db == $loginpost && $pwd_db == md5($pwdpost)) { 
                session_start (); 
                $_SESSION['login'] = $_POST['login']; 
                $_SESSION['pwd'] = $_POST['pwd'];
				$_SESSION['id']	= $ligne['id'];
                $_SESSION['auth'] = "ok";
		header("Location: index.php?page=raremagic");
          } 
          else { 
             echo 'Le mot de pass ou le Nom d\'utilisateur est incorrect';
          }  
    }  
    else { 
          echo 'Veuillez completez tout le formulaire';  
    }  
    ?>

Blount · 16 Juin 2011

Tu as compris ce que fais le code ? Ça n'en donne pas l'impression en le voyant :/

La requête elle même suffit à vérifier le login et mot de passe, pour avoir en plus une condition ?

(il faudrait mettre

PHP:

quand tu colles du PHP dans le forum ;) )

user2home · 16 Juin 2011

Je l'ai écrite donc oui =)

Je n'ai pas compris la fin de ton message, avec la requête plus je vérifie l'enssemble mais je dois avoir un soucis, car il me retourne toujours une erreur d'identifiant

forty · 16 Juin 2011

Blount t'indique que ton select vérifie déjà le mot de passe mais tu fais quand même un test après.

Normalement tu devrais rechercher dans la base le mot de passe à partir du login. Si le login n'existe pas tu l'indiques et sinon tu vérifies que le mot de passe est correct.

bgdc · 16 Juin 2011

Si le mot passe est sauvegardé en MD5 dans ta base (ce que j’espère), ta requete devrait plutôt ressembler à un truc comme ça :

PHP:

$sql = "SELECT id, login, mdp FROM account WHERE login='" . $loginpost . "' AND mdp='" . md5($pwdpost) . "';";

Blount · 16 Juin 2011

Il applique déjà la fonction md5() à la ligne du dessus.
De plus, on ne met pas les « ; » dans les requêtes.

Mais il y a plein de truc qui ne vont pas dans son code.

Par exemple, il fait un « isset » sur les $_POST pour vérifier si les variables existes alors qu'il les utilise déjà plus haut …
Il fait un md5 sur $_POST['pwd'] pour mettre le résultat $pwdpost et plus bas, il refait un md5 dessus pour le comparer avec la valeur de la base de données.

Personnellement, quand je vois un code de ce genre, je me dis qu'il n'y a pas de réflexion derrière. J'ai l'impression qu'il met des fonctions ici et là et « prie » pour que ça passe sans savoir pourquoi.

Je peux pondre un code tout corrigé, mais ça apporterait quoi ? En programmation, il faut une certaine logique, et se dire « on vérifie l'existence des variables avant de les utiliser » en est la base.

Désolé si je peux paraître un peu brut dans ce que j'écris mais bon, c'est la réalité des choses.

bgdc · 16 Juin 2011

Blount a dit:

Il applique déjà la fonction md5() à la ligne du dessus.
Cliquez pour agrandir...

Bien vu, je retourne faire la sieste

user2home · 16 Juin 2011

Blount a dit:

Je peux pondre un code tout corrigé,
Cliquez pour agrandir...

Je ne l'ai pas demandé :wink:

Blount a dit:

Désolé si je peux paraître un peu brut dans ce que j'écris mais bon, c'est la réalité des choses.
Cliquez pour agrandir...

Ya pas de soucis je vais refaire le code histoire d'être "logique" :wink:

user2home · 17 Juin 2011

Me revoici avec le code "corrigé", j'ai en compte tes notes si tu trouves encore des incohérences je ne comprend pas je me suis vraiment penché sur le sujet :wink:

Mais j'ai toujours un soucis avec toujours un "'Le mot de pass ou le Nom d\'utilisateur est incorrect" à chaque tentative de connexion. :?

PHP:

    <?php $connexion = mysql_connect("localhost","root",""); if (!$connexion) { die('Connexion impossible : ' . mysql_error()); } mysql_select_db("saslink", $connexion);     if (isset($_POST['login']) && isset($_POST['pwd'])) { // test d'existence des variables      $loginpost = mysql_real_escape_string($_POST['login']);//verifie l'utilisation de caracteres speciaux $pwdpost=mysql_real_escape_string(md5($_POST['pwd']));//je passe le $_POST en md5 pour le comparer au celui de la DB qui en md5 $sql = "SELECT id, login, mdp FROM account WHERE login='" . $loginpost . "' AND mdp='" . $pwdpost . "'"; // je selectionne mes identifiant dans ma DB $resultat = mysql_query($sql); $ligne = mysql_fetch_array($resultat, MYSQL_ASSOC); $login_db = $ligne['login'];//je sors le login $pwd_db = $ligne['mdp'];//je sors le mdp                 if ($login_db == $loginpost && $pwd_db == md5($pwdpost)) { //je compare mes logs récuperer en $_POST et ceux de la DB                 session_start ();                  $_SESSION['login'] = $_POST['login'];                  $_SESSION['pwd'] = $_POST['pwd'];                 $_SESSION['id']    = $ligne['id'];                 $_SESSION['auth'] = "ok";         header("Location: index.php?page=raremagic");           }            else {               echo 'Le mot de pass ou le Nom d\'utilisateur est incorrect';           }       }       else {            echo 'Veuillez completez tout le formulaire';       }       ?>

bgdc · 17 Juin 2011

Allez je vais retentez un truc.

Ce test pourquoi y'a encore une fois le MD5 puisque tu l'a deja fait plus haut ?

PHP:

$pwd_db == md5($pwdpost) 

Blount · 17 Juin 2011

Bon, c'est déjà mieux dans le bon ordre.

Premièrement bgdc a raison sur la double utilisation de md5 (tu hashes le hash …). Mais je l'avais déjà signalé dans mon précédent poste.

Sinon, pour revenir sur la logique. Tu fais ta requête SQL de tel sorte qu'elle récupère l'id, le login et le mdp de l'utilisant ayant pour login « $loginpost » et le mot de passe « $pwdpost ».
Si ta requête retourne un résultat, alors c'est que la personne a entrée les bons identifiants. Tu le sais déjà avec la requête !!

Tu dois juste vérifier que la requête retourne un résultat, et pour ce faire, tu regardes si « mysql_fetch_array » retourne « false ».

En claire :

PHP:

 <?php $connexion = mysql_connect("localhost","root",""); if (!$connexion) { die('Connexion impossible : ' . mysql_error()); } mysql_select_db("saslink", $connexion); if (isset($_POST['login']) && isset($_POST['pwd'])) { // test d'existence des variables $loginpost = mysql_real_escape_string($_POST['login']);//verifie l'utilisation de caracteres speciaux $pwdpost=mysql_real_escape_string(md5($_POST['pwd']));//je passe le $_POST en md5 pour le comparer au celui de la DB qui en md5 $sql = "SELECT id, login, mdp FROM account WHERE login='" . $loginpost . "' AND mdp='" . $pwdpost . "'"; // je selectionne mes identifiant dans ma DB $resultat = mysql_query($sql); $ligne = mysql_fetch_array($resultat, MYSQL_ASSOC); $login_db = $ligne['login'];//je sors le login $pwd_db = $ligne['mdp'];//je sors le mdp if ($ligne !== false) { session_start (); $_SESSION['login'] = $_POST['login']; $_SESSION['pwd'] = $_POST['pwd']; $_SESSION['id'] = $ligne['id']; $_SESSION['auth'] = "ok"; header("Location: index.php?page=raremagic"); } else { echo 'Le mot de pass ou le Nom d\'utilisateur est incorrect'; } } else { echo 'Veuillez completez tout le formulaire'; } 

Sinon, pour « $_SESSION['auth'] = "ok"; », penses tu que ce soit utile ? Tu veux veux savoir si l'utilisateur est connecté, il suffit de tester l'existence de $_SESSION['id'] (par exemple).

user2home · 17 Juin 2011

Résolu, je mettais deux fois la fonction MD5, la fonction md5 dans le if était en trop. :wink:

PHP:

if ($login_db == $loginpost && $pwd_db == md5($pwdpost))

forty · 17 Juin 2011

c'est plutôt :

Code:

...
    if ($ligne !== false) {
        $login_db = $ligne['login'];//je sors le login
        $pwd_db = $ligne['mdp'];//je sors le mdp
 ...

user2home · 17 Juin 2011

forty a dit:
c'est plutôt :
Code:
...
    if ($ligne !== false) {
        $login_db = $ligne['login'];//je sors le login
        $pwd_db = $ligne['mdp'];//je sors le mdp
 ...
Cliquez pour agrandir...
Et quel est l’intérêt de ceci ? :? Si ma requête est bonne ca sera toujours true ?

forty · 17 Juin 2011

$ligne['login'] n'a de valeur que si $ligne est différent de false. Avec le code donné par Blount au dessus on récupère la valeur avant le test d'existence ce qui n'est pas correct.

Blount · 17 Juin 2011

forty a dit:
c'est plutôt :
Code:
...
 if ($ligne !== false) {
 $login_db = $ligne['login'];//je sors le login
 $pwd_db = $ligne['mdp'];//je sors le mdp
 ...
Cliquez pour agrandir...
Exacte.
Et je dirais même plus : ça n'a aucun sens.

Pourquoi assigner les valeurs à de nouvelles variables alors qu'il suffit d'exploiter $ligne ?

Voici une version allégée :

PHP:

 <?php session_start(); // je me préfère bien en haut $connexion = mysql_connect("localhost","root",""); if (!$connexion) { die('Connexion impossible : ' . mysql_error()); } mysql_select_db("saslink", $connexion); if (isset($_POST['login']) && isset($_POST['pwd'])) { $resultat = mysql_query("SELECT id, login, mdp FROM account WHERE login = '".mysql_real_escape_string($_POST['login'])."' AND mdp = '".md5($_POST['pwd']). "'"); // vérification login et mot de passe existant. if (false !== $ligne = mysql_fetch_array($resultat, MYSQL_ASSOC)) { // une entrée existe ? $_SESSION['login'] = $ligne['login']; $_SESSION['pwd'] = $ligne['pwd']; $_SESSION['id'] = $ligne['id']; header("Location: index.php?page=raremagic"); } else { echo 'Le mot de pass ou le Nom d\'utilisateur est incorrect'; } } else { echo 'Veuillez completez tout le formulaire'; }  

J'enlève des variables inutiles ($sql, $_SESSION['auth'], etc.) avec quelques aménagements.

user2home · 17 Juin 2011

Bien compris merci à tout les deux

Similar Threads - Script identification	Forum	Date
Format milliers nombre en javascript	Développement d'un site Web ou d'une appli mobile	5 Décembre 2019
Description sur Pinterest pas affichée	Autres réseaux sociaux	15 Novembre 2019
WordPress Description de produits similaire	Rédaction web et référencement	23 Octobre 2019
WordPress Annuaire avec fiche d'inscription différente par type d'inscrits	Développement d'un site Web ou d'une appli mobile	7 Octobre 2019
Référencement d'un site full javascript (angular js)	Référencement Google	10 Septembre 2019
Meta description Yoast Seo non reprise par Google	Référencement Google	8 Septembre 2019
Balisage sémantique itemprop name / description multilingue	Référencement Google	26 Juillet 2019
[Google shopping] Erreur "description" dans diagnostic du module "google merchant center pro"	e-commerce	26 Juillet 2019
Problème de description dans les serps	Problèmes de référencement spécifiques à vos sites	19 Juillet 2019
WordPress Affichage de l'auteur au lieu de la meta description	Référencement Google	19 Juillet 2019