[Sécurité] Problème avec Javascript dans un code d'authentification

**Helifyl** · 16/10/2006, 23h28

Bonjour !

J'ai essayé d'appliquer un tuto de développez traitant d'un système de connexion par $_SESSION globalement sûr (http://bob.developpez.com/phpauth/), mais php me retoure un message d'erreur en rapport avec le javascript sensé renvoyer le mot de passe crypté en md5 à la place du mot de passe en clair.

Pour vous éviter de lire tout le tuto voilà le script en question:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 "function submit_pass()
{
  pass=document.forms['log'].passwd.value;
  document.forms['log'].passwd.value="";
  buf=MD5(pass);
  document.forms['log'].md5.value=buf;
 
  return true;
}"

Et mon message d'erreur:

"Parse error: syntax error, unexpected '=' in /usr/export/www/hosting/altyr/minisite/menu_droite.php on line 4"
Sachant que la ligne 4 correspond à la première ligne de la fonction submit_pass().

Je n'ai pas de connaissance en javascript/AJAX. Je compte m'y mettre un jour ou l'autre, mais en attendant je suis un peu bloqué. J'espère que quelqu'un pourra me dire d'où vient l'erreur.

**Mr N.** · 17/10/2006, 00h04

et bienvenue !

Est-ce que tu peux :
- utilisez les balises [code] pour ton... code

- nous donnez un peu plus de code car là c'est un peu flou.

**vg33** · 17/10/2006, 00h20

Envoyé par Mr N.

- nous donnez un peu plus de code car là c'est un peu flou.

+1
Il s'agit d'une erreur de syntaxe php. Nous avons donc besoin du code entourant ta fonction js pour trouver l'erreur.

**Helifyl** · 17/10/2006, 22h33

Merci pour l'accueil et désolé pour les balises.

Pour le code pas de problème le voilà:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<?php
function submit_pass()
{
  pass=document.forms['log'].mdp.value;
  document.forms['log'].mdp.value="";
  buf=MD5(pass);
  document.forms['log'].md5.value=buf;
 
  return true;
}
?>
<div class="menudroite">
<form id='log' method='post' action='http://altyr.al.funpic.org/auth.php' onsubmit='javascript:submit_pass();'>
	<input type='hidden' name='md5' />
	<input type="text" class="pseudo" name="login" value="login" size="15" onfocus="this.select();" tabindex="10" /> <br/>
	<input type="password" class="mdp" name="mdp" value="*******" size="15" onfocus="this.select();" tabindex="20" /> <br/>
	<input type="submit" class="bouton" value="OK" tabindex="30" accesskey="enter" />
</form>

Ya pas grand chose vu que c'est juste le code de mon menu de droite que j'inclue sur la page principale. Mais le problème vient bien de cette partie. Et sans doute du flash auquel je ne pompe rien

**vg33** · 17/10/2006, 22h37

Ta fonction submit_pass() est du javascript, pas du php. Tu ne dois donc pas l'entourer des balises <?php ?>, mais l'envoyer directement au navigateur comme les reste du html.

**Helifyl** · 17/10/2006, 23h05

Il n'y a quand même pas une balise quelconque a mettre ?

Parce que là le navigateur me l'affiche tel quel comme du texte:

http://altyr.al.funpic.org//minisite/menu_droite.php

**vg33** · 17/10/2006, 23h12

Envoyé par Helifyl

Il n'y a quand même pas une balise quelconque a mettre ?

Si bien entendu : <script type="text/javascript">
Ce qui donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
<script type="text/javascript">
<!--
function submit_pass()
{
  pass=document.forms['log'].mdp.value;
  document.forms['log'].mdp.value="";
  buf=MD5(pass);
  document.forms['log'].md5.value=buf;
 
  return true;
}
// -->
</script>

**Helifyl** · 17/10/2006, 23h14

Merci beaucoup ! Cette fois ça marche !

Il faut vraiment que je me mette à l'AJAX moi...

Encore merci !

**vg33** · 17/10/2006, 23h38

Avec plaisir

N'oublie pas le tag

**Helifyl** · 18/10/2006, 19h20

Hmm désolé je crois que j'ai crié victoire trop vite: la fonction javascript me supprime bien le champs 'mdp' qui contient le mot de passe en clair mais par contre je ne reçois rien dans la variable $_POST['md5'] qui devrait contenir le mot de passe crypté en md5.

Est-ce que le javascript reconnait la fonction md5 telle qu'on la voit ici ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

buf=md5(pass)

**vg33** · 18/10/2006, 19h39

Personnellement, j'inclus le script qui contient la fonction md5 (fais une recherche Google).
Sinon, as-tu bien un champ "md5" dans ton formulaire ?

**Helifyl** · 18/10/2006, 20h12

Je vais essayer d'inclure md5, mais je ne suis pas sûr que le problème vienne de là, dans la mesure où j'ai fait des tests et que php l'utilise correctement chez cet hébergeur.

Sinon pour le champ oui il y est (on peut le voir dans mon post d'hier à 22h35). Il est caché mais je ne pense pas que ce soit l'origine du problème.

**vg33** · 18/10/2006, 20h42

Envoyé par Helifyl

Je vais essayer d'inclure md5, mais je ne suis pas sûr que le problème vienne de là, dans la mesure où j'ai fait des tests et que php l'utilise correctement chez cet hébergeur.

Attention : php et js sont des langages n'ayant strictement rien en commun. Donc si php supporte md5, cela ne veut pas dire que js le supporte. Déjà parce que php tourne côté serveur, et js côté client.

Voici un script js md5 : http://pajhome.org.uk/crypt/md5/md5src.html

Tu copies la source, tu la mets dans un fichier md5.js, et dans le head de ta page, tu inclus :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script type="text/javascript" src="chemin_du_script/md5.js"></script>

**Helifyl** · 18/10/2006, 21h07

Encore raison, c'était bien ça. Merci

Par contre pour les inscriptions je vais crypter les mdp directement avant de les stocker dans la db (normal). Est-ce que la fonction md5 de php correspond à hex_md5, b64_md5 ou à str_md5 du fichier md5.js ??

**vg33** · 18/10/2006, 22h36

J'avoue que je ne sais pas.
Voici un autre script où il suffit d'appeler MD5() :
http://commun.webingenia.com/js/MD5.js
C'est celui que j'utilise personnellement, et le résultat est exactement le même que la fonction md5() de php.