Discussion :

[beegees]

Bonjour tout le monde,

J'ai cette chaine SQL :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ChaineConnexion = "SELECT * FROM professeurs WHERE MATRICULE_PROF LIKE '" . $_SESSION['Matricule'] . "' AND LOGIN2 LIKE '". $_SESSION['loginprof'] . "' AND MDP2 LIKE '$MotDePasseCrypte' OR MDP_ADMIN LIKE 'graduat' ";

Le problème est qu'avec cette chaine sql, le visiteur tape le matricule et le login, si ces deux informations sont correctes, il peut appuyer sur le bouton sans mettre de mot de passe, il entre dans le site

Voici le code de la page :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
<?php
	session_start();
	include("../Scripts/connexion.php");
	//j'évite l'injection SQL
	$_SESSION['loginprof'] = mysql_real_escape_string($_REQUEST['txtlogin']); 
	$_SESSION['Matricule'] = mysql_real_escape_string($_REQUEST['txtmatricule']);
 
	$_REQUEST['txtmdp'] = mysql_real_escape_string($_REQUEST['txtmdp']);
	//je hash le mot de passe entr par l'utilisateur en sha1 afin de pouvoir le comparer avec le mot de passe se trouvant dans la bd qui lui est aussi ash. 
	$MotDePasseCrypte = sha1($_REQUEST['txtmdp']);
 
	$ChaineConnexion = "SELECT * FROM professeurs WHERE MATRICULE_PROF LIKE '" . $_SESSION['Matricule'] . "' AND LOGIN2 LIKE '". $_SESSION['loginprof'] . "' AND MDP2 LIKE '$MotDePasseCrypte' OR MDP_ADMIN LIKE 'graduat' ";
	echo $ChaineConnexion;
 
	$resultat = mysql_query($ChaineConnexion)or exit(mysql_error());//mysql_query permet d'excuter la requte passe en paramtre
	$num_rows = mysql_num_rows($resultat) or exit(mysql_error());
 
	$afficher = mysql_fetch_array($resultat);
 
	if($num_rows > 0) //si le nombre de ligne retourne par la requte est suprieur  zero
	{
		if($afficher["TYPE_DE_VISITEUR"] == "Utilisateur") 
		{ 
			$_SESSION['TypeVisiteur'] = "Utilisateur"; 
			header("Location: ../EntreeDeDonnees.php");
		} 
	else 
		{ 
			$_SESSION['TypeVisiteur'] = "Administrateur"; 
			header("Location: ../EntreeDeDonnees.php?select_Nom_Tables=".$_SESSION['LaTable']);
		}
	}
?>

Merci d'avance pour votre aide.

beegees

[ElbeDD]

Bonsoir,
Il te suffit d'avoir un enregistrement dans la base avec MDP_ADMIN LIKE 'graduat' pour que la requete renvoie un résultat.

Je ne sais pas l'interet de cette variable, mais il faut probablement que tu utilises les partentheses. Par exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
.. AND (MDP2 LIKE '$MotDePasseCrypte' OR MDP_ADMIN LIKE 'graduat' ");

En même temps: je controlerai toujours le mot de passe (pas de passe-droit).

[beegees]

Salut,

J'ai finalement contourné le problème en remplissant une variable de session.

Elle a une certaine valeur si je suis admin ou simple visiteur et par rapport à ça, je choisis une chaine SQL.

Merci pour ton aide et bonne soirée.

beegees