Discussion :

[Invité]

Bonjour,

Je débute en php. En parcourant différents forum, j'ai fais un formulaire d'inscription qui fonctionne correctement et que voici.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
<?php
 
 
$pdo_options[PDO::ATTR_ERRMODE] = PDO::ERRMODE_EXCEPTION;
$bdd = new PDO('mysql:host=localhost;dbname=fonctions', 'root', '',   $pdo_options);
 
$erreurs = [];
if(empty($_POST['pseudo'])) {
    $erreurs[] = 'Veuillez entrer un pseudo';
} else {
    $stmt = $bdd->prepare('SELECT COUNT(*) FROM abonnes WHERE pseudo = :pseudo');
    $stmt->execute(['pseudo' => $_POST['pseudo']]);
    if ($stmt->fetchColumn()) {
        $erreurs[] = 'Ce pseudo est déjà utilisé';
    }
}
if(empty($_POST['mdp'])) {
    $erreurs[] = 'Veuillez entrer un mot de passe';
} elseif($_POST['mdp'] != $_POST['mdp_confirm']) {
    $erreurs[] = 'mots de passes différents ';
}
if(empty($_POST['mail'])) {
    $erreurs[] = 'Veuillez entrer un mail';
} elseif($_POST['mail'] != $_POST['mail_confirm'])
    $erreurs[] = 'les deux adresses emails sont différentes ';
 
if ($erreurs) {
    echo '<ul><li>', implode('</li><li>', $erreurs), '</li></ul>';
} else {
 
	$req = $bdd->prepare('INSERT INTO abonnes(pseudo, mdp, mail) VALUES(:pseudo, :mdp, :mail)');
    $req->execute([
        'pseudo' => $_POST['pseudo'],
        'mdp' => $_POST['mdp'],
        'mail' => $_POST['mail'],
    ]);
 
    header('Location: inscription.php');
}
 
?>

cependant, mon formulaire de connexion ne fonctionne pas. Il ne doit pas s'agir de grand chose, mais je ne comprends pas l'erreur... .

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<?php
$fail = FALSE;
if ('POST' == $_SERVER['REQUEST_METHOD']) {
    require('shared.php');
 
    $stmt = $bdd->prepare('SELECT * FROM abonnes WHERE pseudo = :pseudo');
    $stmt->execute(['pseudo' => $_POST['pseudo']]);
    if ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
        if (password_verify($_POST['mdp'], $row['mot_de_passe'])) {
            session_start();
            $_SESSION['id'] = $row['id'];
            if (password_needs_rehash($row['mot_de_passe'], $password_options['algo'], $password_options['options'])) {
                $stmt = $bdd->prepare('UPDATE abonnes SET mot_de_passe = :new_hash WHERE id = :id');
                $stmt->execute(['id' => $row['id'], 'new_hash' => password_hash($_POST['mdp'], $password_options['algo'], $password_options['options'])]);
            }
            header('Location: index.php');
            exit;
        } else {
            $fail = TRUE;
        }
    } else {
        $fail = TRUE;
    }
}
?>

pourriez-vous m'aider?


merci d'avance

[Dumbeldor]

Salut Julien,

Pour ton premier if je suis pas trop d'accord.
Je préfère faire un :

if(isset($_POST['pseudo'], $_POST['mdp']))

C'est plus clair je trouve. Après tu peux me dire ce qui se passe quand tu essayes de te connecter ?

[Invité]

Merci de bien vouloir m'aider.

En fait, avec le code actuel, j'obtiens toujours "Aucun utilisateur ne correspond à ce couple pseudo/mot de passe." même lorsque le couple pseudo est mot de passe est bien dans la base de données. Selon moi, le problème doit venir de la ligne 9, mais sans plus de certitude... .

[Invité]

quelqu'un pourrait m'aider?

[sabotage]

Le mot de passe que tu inseres dans la base de données n'est pas haché.

[Invité]

Le mot de passe que tu inseres dans la base de données n'est pas haché.

donc si je supprime la partie

if (password_needs_rehash($row['mot_de_passe'], $password_options['algo'], $password_options['options'])) {
$stmt = $bdd->prepare('UPDATE abonnes SET mot_de_passe = :new_hash WHERE id = :id');
$stmt->execute(['id' => $row['id'], 'new_hash' => password_hash($_POST['mdp'], $password_options['algo'], $password_options['options'])]);
}

ça devrait être juste?

[sabotage]

Pour le savoir, il suffit d'essayer.

Mais bon la bonne démarche serait plutôt de hacher les mots de passe à l'insertion.

[Invité]

D'accord, merci.

dans un premier temps, j'ai retiré la partie hachée, et j'ai constaté que j'étais connecté lorsque dès que j'entre la partie 'pseudo' correcte, le formulaire de connexion marche. Donc, la partie mot de passe ne fonctionne pas.

Je ne trouve pas l'erreur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
$fail = FALSE;
 
if ('POST' == $_SERVER['REQUEST_METHOD']) {
    require('shared.php');
 
    $stmt = $bdd->prepare('SELECT * FROM abonnes WHERE pseudo = :pseudo');
    $stmt->execute(['pseudo' => $_POST['pseudo']]);
    if ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
        if (password_verify($_POST['mdp'], $row['mdp'])) {
            session_start();
            $_SESSION['id'] = $row['id'];
            }
            header('Location: index.php');
            exit;
        } else {
            $fail = TRUE;
        }
    } else {
        $fail = TRUE;
    }
 
?>

[sabotage]

Comme je t'ai dit, il faut hacher le mot de passe lors de l'insertion. Ton code est prévu comme ça.

[Invité]

Comme je t'ai dit, il faut hacher le mot de passe lors de l'insertion. Ton code est prévu comme ça.

dans le formulaire html?

[sabotage]

nonn lors de l'insertion

[Invité]

comment hacher?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if (password_verify($pass, $hash)) {
    if (password_needs_rehash($hash, $algorithm, $options)) {
        $hash = password_hash($pass, $algorithm, $options);
    }
}

?

[sabotage]

Comme tu débutes, je te conseille de lire des articles et d’expérimenter plutôt que de copier/coller du code.

http://grunk.developpez.com/tutoriel...sse-securises/