SCRIPT D'IDENTIFICATION_vos critiques!

[afibase]

bonjour,
J'aimerai avoir vos critiques sur ce script d'identification:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<?php
	if (isset($_POST['valider']))
	{ 
		require ("Connect.php");
		$connexion = mysql_pconnect (SERVEUR, NOM, PASSE);
		mysql_select_db (BASE,$connexion);
		$sql=("SELECT * FROM user WHERE utilisateur='$_POST[utilisateur]' AND  mdp='$_POST[mdp]'");
		$result=mysql_query($sql);
		$enreg=mysql_num_rows($result);
		while($row=mysql_fetch_assoc($result))
		{
		    echo'<p class=liste_action a>
					Bienvenue '.$row['prenom'].' '.$row['nom'].' - 
				    <a href=accueil.html>cliquez sur ce lien pour accéder à la base !</a>
				 </p>';
		}
                 if($enreg<1)//permet de tester si le nom existe ou pas ds la base
		{
		    echo"<p class=contenu>
					<font color=#FF0000>
						aucun élément correspond à votre demande
					</font></p>";
		}
		}
?>

merci !

[Munn Li]

Bonjour,

Tout d'abord je te conseillerais de te tourner vers une autre api, puisque celle-ci est obsolète, les deux autres choix conseillés ne me semble pas plus compliqué à apprendre.

Concernant le code, le plus ennuyeux me semble que tu ne te protèges pas contre les injections sql.

Tu utilises une boucle while alors que tu n'attends qu'un résultat.

Tu pourrais utiliser une comparaison utilisant mysql_num_rows plutot que ($enregistrer<1)

Bon courage