identification avec un Header sous Ie7

**sarnedhel** · 11/03/2009, 11h12

Bonjour,

J'ai un souci pour tous les clients sous ie7 : on dirait que ce navigateur essaie de s'identifier au domaine et non de poster les informations (login, mdp) nécessaires à la navigation.
Il n'y a pas d'erreur sous Firefox, Gecko, Konqueror, Ie6 etc.

Voici le code :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
<?php
 
include ("mysql.inc.php");
 
session_start();
 
$adresse_ip_visiteur = $_SERVER['REMOTE_ADDR'];
 
if( !isset($_SERVER['PHP_AUTH_USER']) ) {
 
  /* Aucune session n'est ouverte : on affiche la demande d'autentification */
 
  header('WWW-Authenticate: Basic realm="Pop-up d\'identification"');
 
  header('HTTP/1.0 401 Unauthorized');
 
  echo "Accès refusé \n";
 
  exit;	
 
} 
 
else {
 
  /* Une session est ouverte on vérifie les paramètres de connexion envoyés */
 
  $pass=($_SERVER['PHP_AUTH_PW']);
 
  $pass=md5($pass);
 
  $requete  = "SELECT mot_de_passe,nom_utilisateur,id,niveau_securite,mail ";
 
  $requete .= "FROM utilisateurs where mot_de_passe = '$pass' ";
 
  $requete .= "AND nom_utilisateur = '$_SERVER[PHP_AUTH_USER]'";
 
  $resultat = mysql_query($requete,$connexion);
 
  $nombre_de_resultats = mysql_num_rows($resultat);
 
  if ( $nombre_de_resultats == 0 ){
 
    /* Le mot de passe / nom d'utilisateur saisi est incorrect, 

       affichage d'une nouvelle demande d'authentification */
 
    header('WWW-Authenticate: Digest realm="Micro Application"');
 
    header('HTTP/1.0 401 Unauthorized');
 
    echo "Accès refusé \n";
 
    exit;	
 
    echo "<a href=$PHP_SELF>Cliquez ici pour vous identifier de nouveau</a>";
 
  } 
 
 
 
  	else {
 
    /* Le couple nom / Mot de passe est correct*/
 
    $ligne = mysql_fetch_array($resultat);
 
    $identifiant_utilisateur = $ligne['id'];
 
    $securite_utilisateur = $ligne['niveau_securite'];
 
    $email_utilisateur = $ligne['mail'];
 
    $nom_utilisateur_identification = $ligne['nom_utilisateur'];
 
 
 
    $_SESSION["email"] = $email_utilisateur;
 
 
 
	$requete = "SELECT UNIX_TIMESTAMP(date) FROM historique WHERE identifiant = '$identifiant_utilisateur'";
 
	$resultat = mysql_query($requete,$connexion);
 
    $ligne = mysql_fetch_array($resultat);
 
	$nombre_de_resultats = mysql_num_rows($resultat);
 
	if ( $nombre_de_resultats == 0 ){
 
			/* L'utilisateur n'est pas présent dans l'historique */
 
	$requete = "INSERT INTO historique (identifiant, date, ip) values ('$identifiant_utilisateur',NOW(),'$adresse_ip_visiteur')";
 
	$resultat = mysql_query($requete,$connexion);
 
    }
 
	else {
 
	$requete = "UPDATE historique (identifiant, date, ip) values ('$identifiant_utilisateur',NOW(),'$adresse_ip_visiteur')";
 
	$resultat = mysql_query($requete,$connexion);
 
    }
 
 
 
    $niveau_autorise = 0;
 
    if ($securite_utilisateur == '0') {
 
 
 
	  // L'utilisateur est l'administrateur donc accès autorisé
 
      $niveau_autorise = 1;
 
    } 
 
	else {
 
 
 
      // Test de concordance niveau de sécurité page/utilisateur
 
      if (!is_array($securite_page)) {
 
		echo "<title>Privilèges insuffisants</title>";
 
	// pas de déclaration des niveaux acceptés => rejet
 
		$niveau_autorise = 0;
 
      } 
 
	  else {
 
	// La page requiert un certain niveau de sécurité
 
	$niveau_utilisateur=split("#",$securite_utilisateur); 
 
	// Boucle : pour chaque niveau accepté à l'utilisateur :
 
	// test si ce niveau est compatible avec la page
 
	while (list ($cle, $val) = each ($securite_page)) {
 
	  if ($val) {
 
	    $requete = "SELECT pere_securite FROM niveaux_securite WHERE niveau_securite = '$val'";
 
	    $resultatat = mysql_query($requete,$connexion);			
 
 
 
	    $nombre_de_resultats = mysql_num_rows($resultatat);
 
	    if ($nombre_de_resultats > 0) {
 
	      $ligne = mysql_fetch_array($resultatat);
 
	      $securite_page[] = $ligne[pere_securite];
 
	    }
 
	  }
 
	}
 
	while (list ($cle, $val) = each ($niveau_utilisateur)) {
 
	  if (in_array($val,$securite_page)) {
 
	    $niveau_autorise = 1;
 
	  }
 
	}
 
	// A la sortie de la boucle $niveau_autorise vaut 1 si au
 
	// moins un niveau de l'utilisateur est accepté par la page
 
      }
 
    }
 
 
 
    if ($niveau_autorise != 1) {
 
      // Mauvais niveau de sécurité : arrêt de l'affichage
 
      echo "<meta http-equiv=\"refresh\" content=\"2; URL=index.php\">";
 
	  echo "Vous n'êtes pas autorisé à afficher cette page";      
 
	  die; 
 
    }
 
}
 
}
 
 
 
 
?>

Je n'ai rien trouvé sur ce site ou sur internet. Je me décide donc à poster avant de choisir la solution de la $_SESSION.

Merci

**sabotage** · 11/03/2009, 11h46

Bonjour,

Pourrais-tu mieux preciser le probleme que tu rencontres avec IE7 ?
Moi j'ai le meme comportement sur les deux navigateur.

**sarnedhel** · 11/03/2009, 12h00

Le comportement est bon sur le 2 navigateurs : le pop-up s'ouvre bien et les 2 champs login, mdp peuvent être renseignés correctement.
Sous Firefox, je valide et le script récupère le post, compare avec la base sql et valide l'identification et on peut poursuivre la navigation
Sous IE7, je valide et revient au pop-up qui ajoute "ww.nomdudomaine.eu/login" et attend une nouvelle validation. Après 2 fois, j'ai une page d'erreur 401 comme quoi je n'ai pas l'autorisation.
Pour plus de facilité voici la page :
http://www.holding-aaa.eu
Cliquez sur un des trier par exemple (login : test, mdp : limited)

J'espère que c'est à peu près clair...

**sabotage** · 11/03/2009, 12h06

Tu devrais faire un echo $requete; pour voir s'il y a une difference entre les deux navigateurs.

**sarnedhel** · 11/03/2009, 12h35

Oui mais je ne sais pas comment récupérer la variable avec IE7 puisqu'il ne valide pas l'identification et que je tombe sur une page préformatée.

**sabotage** · 11/03/2009, 13h19

tu fais un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

die ('requete : ' . $requete);

**sarnedhel** · 12/03/2009, 08h28

Je suis sans doute un gros boulet

mais je n'arrive pas à faire mourir cette requête.
Je suis persuadé que, comme IE7 essaie de s'identifier au serveur et nom au site, le header est remplacé par une autre demande du site.
A mon avis, il y a quelque chose à modifier sur le serveur : genre, ne pas accepter les demandes d'identification par http...

**sabotage** · 12/03/2009, 09h54

Tu peux aussi simplement enlever ta deuxieme authentification pour controle.

Tu n'aurais pas un .htaccess dans ton arboresence ?

**sarnedhel** · 12/03/2009, 10h17

Non je n'ai pas de .htaccess sur ce site (mais sur un autre c pareil

.
J'ai fait quelques modifs coté serveur. Si j'établis certains droits d'accès pour ce fichier, je passe mais il n'a pas réalisé l'include et le reste des pages s'affiche avec des erreurs puisqu'il n'y a pas de connexion à la base MySql.
Si je créé une protection avec les mêmes login / mdp, je passe aussi mais, encore une fois, il n'exécute pas le header (

de win2003).
J'ai bien essayé de supprimer IIS sur le serveur ...

**sarnedhel** · 12/03/2009, 13h48

Pas trouvé de soluces.
J'ai fait une demande auprès d'OVH mais bon...
J'avais pourtant demandé un serveur Linux

J'ai donc tout converti à la méthode $_SESSION.
Ca m'ennuie du coup de perdre les niveaux de sécurité.

Merci tout de même pour ton aide

identification avec un Header sous Ie7

Langage PHP

Discussions similaires

Partager

Partager