[Sécurité] Perte de variables de session dans formulaire

**allyson** · 19/03/2006, 16h18

alors la requête fonctionne?!
vérifie dans ta bdd que les champs nom et prénoms sont vides ou pas!
si ça te donne le reste des infos c'est que ces 2 champs là sont vides!

**coxine** · 19/03/2006, 16h19

oui ils sont vides !
alors j'ai essayé cette manip: je les modifie depuis la base...
Donc mon espace membre est complet...et si je clique sur modifier
Paf !
Le prénom et le nom disparaissent !
Chuis sure que tu n'as jamais vu ça

**allyson** · 19/03/2006, 16h25

bizarre!!!
es-tu sûr qu'ils ne sont pas vides au départ?

**coxine** · 19/03/2006, 16h26

ecoute....je viens de supprimer tout simplement l'enregistrement dans la base de données, je me suis réinscrite....et là :

tout fonctionne !!!!!!

Merci de t'être penchée sur le sujet...qui tient de la troisième dimension, non ??? c'est dingue ça quand meme !

**coxine** · 19/03/2006, 16h37

en fait mon bidule n'est pas résolu du tout !!!
Car maintenant si je veux modifier le prénom : mettre tartentpion à la place de trucmuche, il me remet tartenpion !!! c'est bloqué !

**allyson** · 19/03/2006, 16h44

heu pour mettre de nouvelles valeurs tu dois récupérer celles envoyées via le formulaire! hors dans ta requête update tu utilises ce qui a été sélectionné de la bdd !!

**coxine** · 19/03/2006, 16h51

Envoyé par allyson

heu je crois que tu devrais faire comme ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$updateMembres = "UPDATE membres SET login='".$_SESSION['login']."', nom='".$_SESSION['nom']."', prenom='".$_SESSION['prenom']."', pass='".$_SESSION['pass']."', pass2='".$_SESSION['pass2']."', adresse='".$_SESSION['adresse']."', code_postal='".$_SESSION['code_postal']."', ville='".$_SESSION['ville']."', email='".$_SESSION['email']."', tel='".$_SESSION['tel']."', naissance='".$_SESSION['naissance']."'";
$updateMembres .= "WHERE login='".$_SESSION['login']."'";

Mais qu'est ce qui explique quand même que je peux faire des modifs sur les autres champs....enlever ou ajouter une date de naissance par exemple???
donc je dois reprendre ce que tu m'avais suggéré ?
C'est ça ?
Peux tu me donner un exemple sinon ?
Merci

**coxine** · 19/03/2006, 17h06

je crois avoir compris !
enfin....
A l'issue de l'UPDATE....
Je fais un header....donc je perdais les infos de session...
J'ai corrigé en mettant ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
//---Mise à jour dans la base
mysql_select_db($database, $connexion);
$updateMembres = "UPDATE membres SET login='".$_POST['login']."', nom='".$_POST['nom']."', prenom='".$_POST['prenom']."', pass='".$_POST['pass']."', pass2='".$_POST['pass2']."', adresse='".$_POST['adresse']."', code_postal='".$_POST['code_postal']."', ville='".$_POST['ville']."', email='".$_POST['email']."', tel='".$_POST['tel']."', naissance='".$_POST['naissance']."'";
$updateMembres .= "WHERE login='$login'";
mysql_query($updateMembres, $connexion) or die(mysql_error()); 
header("Location: moncompte.php");
}
?>

tu en penses quoi ?
Je me pose la question de la sécurité !!!!!
Il faut mettre quoi devant les $_POST pour empecher un éventuel piratage....

:

**allyson** · 20/03/2006, 09h04

bonjour,
je crois que c'est plus correcte comme celà!
pour ce qui est de la sécurité tu as déjà une première protection (la concaténation: prenom='".$_POST['prenom']."') elle permet d'éviter les sql injections!
mais il te faut plus et ce petit plus c'est mysql_real_escape_string() (clique sur le lien

)

**coxine** · 20/03/2006, 10h23

merci !
Oui c'est ce que j'avais mis dans ma page valid.php, et j'ai du le supprimer
car :
Fatal error: Call to undefined function: mysql_real_escape_string() in /opt/vhost/xxxxxxxxxx/xxxx/xxxxx/includes/valid.php on line 14"
Je crois que chez cet hébergeur, la version php es trop ancienne, c'est ça ?
Pour l'instant, il s'agit d'un espace TEST....donc je le ferais apres.
La syntaxe est bien la suivante ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
if (isset($_POST) && !empty($_POST['login']) &&!empty($_POST['pass2'])) { // premier test à faire, est-ce qu'un login est passé ? si non, pas la peine de faire d'autre controle, on passe direct à la fin  
  $login=trim(htmlentities(addslashes($_POST['login'])));
  $pass=trim(htmlentities(addslashes($_POST['pass2']))); // on stock dans $login pour simplifier l'écritude et la lisibilité 
  mysql_connect($dbhost,$dblogin,$dbpassword); 
  mysql_selectdb($dbname); 
  $result=mysql_query("SELECT nom, prenom FROM membres WHERE login='$login' AND pass2='$pass'",
  	mysql_real_escape_string($login),
	mysql_real_escape_string($pass));

**allyson** · 20/03/2006, 10h50

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$result=mysql_query("SELECT nom, prenom FROM membres WHERE login='".mysql_real_escape_string($login)."' AND pass2='".mysql_real_escape_string($pass)."'");

**coxine** · 20/03/2006, 13h00

merci Alysson,
c'est ce que j'avais fait précédemment, mais je viens de faire une vérif par phpinfo, et je m'aperçois que je suis en PHP4.1.2 et que donc
mysql_escape_string est activé mais pas l'autre.
il faut que je me renseigne aussi sur le magic quotes....!
Merci en tous cas de ton aide !

**allyson** · 20/03/2006, 14h23

je t'en prie

très bon courage

[Sécurité] Perte de variables de session dans formulaire

Langage PHP

Discussions similaires

Partager

Partager