Discussion :

[king_soft]

Salut,

Je veux creer une page dans laquelle quand un utilisateur termine l'inscription et clique sur le bouton continuer alors il se redirigera vers une page compte.php qui contient les informations sur son profil et il y'a ouverture de session mais quand je fais ca il m'affiche toujours vous n'etes pas encore connecte!

Voila donc les codes des pages:
confirm.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
 
<?php 
		  echo'<form name="confirm" action="compte.php">'; 
connectMaBase();
$civilite=$_POST['civilite'];
$nom=$_POST['nom'];
$prenom=$_POST['prenom'];
$login=$_POST['login'];
$pass1=$_POST['pass1'];
$pass2=$_POST['pass2'];
$societe=$_POST['societe'];
$date_naissance=$_POST['date_naissance'];
$fixe=$_POST['fixe'];
$portable=$_POST['portable'];
$fax=$_POST['fax'];
$pays=$_POST['pays'];
$email=$_POST['email'];
$source=$_POST['source'];
$adresse=$_POST['adresse'];
$postal=$_POST['postal'];
$ville=$_POST['ville'];
 
echo'Bienvenue,'.$civilite.','.$nom.','.$prenom.',dans notre site';
echo'<br/>';
echo'<br/>';
echo'Désormais, pour accéder à votre compte client :';
echo'<br/>';
echo'Votre nom d\'utilisateur est:'.$login;
echo'<br/>';
 
 
 
 
 
 
 
$sql = 'INSERT INTO client(login,pass1,pass2,nom,prenom,civilite,societe,date_naissance,fixe,portable,fax,pays,email,source,adresse,postal,ville,date_inscription) VALUES("'.$login.'","'.$pass1.'","'.$pass2.'","'.$nom.'","'.$prenom.'","'.$civilite.'","'.$societe.'","'.$date_naissance.'","'.$fixe.'","'.$portable.'","'.$fax.'","'.$pays.'","'.$email.'","'.$source.'","'.$adresse.'","'.$postal.'","'.$ville.'",now())';
mysql_query ($sql) or die ('Erreur SQL !'.$sql.'<br />'.mysql_error());
// on ferme la connexion
echo'Vos données ont bien etés enregistrés';
echo'<br/>';
$sql1='select id_client from client where login="'.$login.'"';
 
 
$req1=mysql_query ($sql1) or die ('Erreur SQL !'.$sql1.'<br />'.mysql_error());
$data = mysql_fetch_array($req1);
 
echo'<br/>';
echo'<br/>';
echo'Pour tout correspondance avec notre service commercial,veuillez notez que votre numero de compte est:'.$data['id_client'];
 
 
 
 
 
echo'<br/>';
echo'<input name="valider" type="submit" value="continuer"></form>';
 
if(isset($_POST['valider'])){
$sql2='select id_client from client where login="'.$_POST['login'].'"';
 
 
$req2=mysql_query ($sql2) or die ('Erreur SQL !'.$sql1.'<br />'.mysql_error());
$id_client = mysql_result($req2,0);
session_start();
		$_SESSION['login'] = $_POST['login']; 
          $_SESSION['id_client'] = $id_client;
}
mysql_close();
 
?>

et voila le code de compte.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
<?php
session_start();
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
   "http://www.w3.org/TR/html4/loose.dtd">
 
<?php
include("fonctions.php");
?>
<html>
<head></head>
<body>
<em><a href="profile.php" class="Style9">votre profil</a> </em>
</body>
</html>

et voila le code de profile.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
 
<?php
session_start(); 
require("./auth.php");
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
   "http://www.w3.org/TR/html4/loose.dtd">
 
<?php
include("fonctions.php");
?>
 
 
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
    <title>Mon profile</title>
<body>
<?php 
 
connectMaBase();
echo'<br/>';
echo'<strong>-Votre id:'.$_SESSION['id_client'].'</strong>';
echo'<br/>';
echo'<strong>-Votre login:'.$_SESSION['login'].'</strong>';
echo'<br/>';
$sql1='select nom from client where login="'.$_SESSION['login'].'"';
 
 
$req1=mysql_query ($sql1) or die ('Erreur SQL !'.$sql1.'<br />'.mysql_error());
$data = mysql_fetch_array($req1);
echo'<strong>-Votre nom:'.$data['nom'].'</strong>';
echo'<br/>';
$sql2='select prenom from client where login="'.$_SESSION['login'].'"';
 
 
$req2=mysql_query ($sql2) or die ('Erreur SQL !'.$sql2.'<br />'.mysql_error());
$data = mysql_fetch_array($req2);
echo'<strong>-Votre Prenom:'.$data['prenom'].'</strong>';
echo'<br/>';
$sql3='select civilite from client where login="'.$_SESSION['login'].'"';
 
 
$req3=mysql_query ($sql3) or die ('Erreur SQL !'.$sql3.'<br />'.mysql_error());
$data = mysql_fetch_array($req3);
if($data['prenom']='Monsieur'){
echo'<strong>-Sexe:masculin</strong>';
}
else if($data['prenom']='Mlle' || $data['prenom']='Mme')
echo'-Sexe:Feminin.';
echo'<br/>';
$sql4='select date_naissance from client where login="'.$_SESSION['login'].'"';
$req4=mysql_query ($sql4) or die ('Erreur SQL !'.$sql4.'<br />'.mysql_error());
$data = mysql_fetch_array($req4);
echo'<strong>-Date de naissance:'.$data['date_naissance'].'</strong>';
echo'<br/>';
$sql4='select date_inscription from client where login="'.$_SESSION['login'].'"';
 
 
$req4=mysql_query ($sql4) or die ('Erreur SQL !'.$sql4.'<br />'.mysql_error());
$data = mysql_fetch_array($req4);
echo'<strong>-Date d\'inscription:'.$data['date_inscription'].'</strong>';
echo'<br/>';
$sql5='select portable from client where login="'.$_SESSION['login'].'"';
 
 
$req5=mysql_query ($sql5) or die ('Erreur SQL !'.$sql5.'<br />'.mysql_error());
$data = mysql_fetch_array($req5);
echo'<strong>-Votre telephone:'.$data['portable'].'</strong>';
echo'<br/>';
$sql6='select adresse,postal,ville,pays from client where login="'.$_SESSION['login'].'"';
 
 
$req6=mysql_query ($sql6) or die ('Erreur SQL !'.$sql6.'<br />'.mysql_error());
$data = mysql_fetch_array($req6);
 
echo'Adresse de livraison:<br/>';
echo'<strong>'.$data['adresse'].'</strong><br/>';
echo'<strong>'.$data['postal'].'</strong>';
echo'&nbsp;&nbsp;&nbsp;<strong>'.$data['ville'].'&nbsp;&nbsp;'.$data['pays'].'</strong>';
 
 
 
 
 
echo'<br/>';
 
mysql_close();?>
</body>

Ou est donc le probleme?pourquoi les sessions ne s'enregistrent pas?

Et merci pour vos reponses.

[sabotage]

dans confirm.php
- le session_start() doit être avant tous les echo
- tu utilises les valeurs reçues des formulaires directement dans tes requêtes. Toutes tes requêtes sont donc attaquables par injection SQL.

[riete]

Regarde dans ta page confirm.php, session_start(); est au milieu de la page alors qu'il ne devrait y avoir eu aucun echo avant l'appel à cette fonction.

[king_soft]

J'ai fais session_start() avant les echo mais voila l'erreur qui a ete produite:

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at C:\EasyPHP-5.3.2i\www\site-impression\confirm.php:165) in C:\EasyPHP-5.3.2i\www\site-impression\confirm.php on line 166

[Raideman]

Bonjour,
Vérifie que dans confirm.php tu n'aies pas d'espace avant le début de ton code (que tout soit bien en haut de la page).
IL ne faut absoluement aucun affichage avant que ton session_start n'aie lieu (que ce soit des echo , des espaces ou du html).

[sabotage]

Tu as mis ton session_start() ligne 166 et tu as un affichage ligne 165.

[king_soft]

Oui j'ai fais session_start() dans le debut de la page,mon probleme c'est pas dans confirm.php mais mon probleme consiste quand je suis dans la page compte.php et je veux cliquer sur le lien profile alors une alerte javascript m'affiche 'vous devez vous identifiez!' dont dans la page profile.php je fais appel a la page auth.php et voila le code de auth.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
 
  <?php
  if(!isset($_SESSION['id_client'])){   
  echo '<script>alert("Vous devez vous identifiez!" );window.location.href = "./index.php";</script>'; 
  exit(); }
?>

vous avez compris le probleme?

[Invité]

Toutes tes requêtes sont donc attaquables par injection SQL.

On écoute le monsieur !

FAQ - Qu'est-ce qu'une SQL Injection ?
Fonction PHP : mysql_real_escape_string

Donc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$civilite = mysql_real_escape_string($_POST['civilite']);
$nom = mysql_real_escape_string($_POST['nom']);
$prenom = mysql_real_escape_string($_POST['prenom']);
// etc.

c'est un minimum

Ta balise <script> n'est pas très bien placée dans la page générée, le mieux serait de la placer dans le <head>


Essaye d'être un peu plus clair et de faire des phrases moins longues j'ai du mal à cerner ton problème.

[fredd_75]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$_SESSION['id_client']

Dans ton code je vois nulle part ou tu charge cette variable il est donc normal que lorsque tu fais un test isset($_SESSION['id_client']) il ne sois pas chargé !!!
Car dans ton premier fichier le chargement ne se fera pas car ton session_start() n'est pas au début de ton code.

Fred75