Discussion :

[black-hat]

Bonjour cher membres de la communauté developpez , j'ai décider de créer un système de messagerie privée pour mon site , tout marche bien sauf pour la suppression du message , Seul le membres qui a créer la discussion privée a le droit de la supprimer , la supression n'est qu'un UPDATE d'un champs , bon passon au code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php
if (!empty($_POST['suprimer']) &&  ($_SESSION['MM_Username'] == $row_Recordset['createur'] )) {
		foreach ($_POST['suprimer'] as $cle) {
			$Requete = "UPDATE forum_mp_titre SET createur_delete = '1' WHERE id = '$cle' ";
			$resRequete = mysql_query($Requete, $onestream) or die(mysql_error());
 
		$message_succes = ' Message suprimmer avec succés ! ';
		} 
 
		}
	elseif   (!empty($_POST['suprimer']) &&  ($_SESSION['MM_Username'] !== $row_Recordset['createur'] ))
		{
			echo'erreur';
	}
 
 
?>

Bon pour $row_Recordset['createur']

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<?php
$colname = "-1";
if (isset($_SESSION['MM_Username'])) {
  $colname = $_SESSION['MM_Username'];
}
 
$row_Recordset['createur'] = $colname
 
?>

lors de l'execution , je recois toujours erreur même si

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

?php $row_Recordset['createur'] == $_SESSION['MM_Username'] ?>

et je ne sais pas d'ou sa viens

- merci pour votre aide

[Fench]

Bonjour,

Oui c'est bizarre à première vue ...

Essayes un var_dump de $_POST['suprimer'] pour ce qu'il y a dedant

[black-hat]

Bonjour,

Essayes un var_dump de $_POST['suprimer'] pour ce qu'il y a dedant

array(1) { [0]=> string(2) "29" }

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<?php var_dump($_SESSION['MM_Username']);
var_dump($row_Recordset['createur'])  ?>

ça donne :

string(4) "tata" (c'est le membre connecté)
string(4) "toto" (c'est le nom du membres qui a poster le message)

Si je comprends bien quand isset($_SESSION['MM_Username']) alors l'utilisateur est authentifié ?

Exactement


En se qui concerne la sécurité je le fait en dernier après être sur que le code fonctionne

[Fench]

Je ne pense pas que le problème vient des deux variables:
($_SESSION['MM_Username'] == $row_Recordset['createur']))Par contre ton $_POST est spécial, c'est quoi cette valeur ? Comment est initialisé ce champ ?

[Djakisback]

Je ne pense pas que le problème vient des deux variables:
($_SESSION['MM_Username'] == $row_Recordset['createur']))

En fait j'ai l'impression que si car le !empty($_POST['suprimer']) est dans les 2 branches du test, a priori il ne reste donc que le test sur les 2 variables pour les différencier. Le $_POST['supprimer'] doit contenir les checkbox cochées dans un tableau.

Par contre, si les var_dump() te sortent 'tata' et 'toto' bin ton test fonctionne vu qu'elle ne sont pas égales
Peut-être que le problème vient de $row_Recordset['createur'] qui n'est jamais mis à la bonne valeur.

Tu devrais expliciter ton code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<?php
$colname = "-1";
if (isset($_SESSION['MM_Username'])) {
  $colname = $_SESSION['MM_Username'];
}
 
$row_Recordset['createur'] = $colname
 
?>

$colname devrait venir de la BDD plutôt non ? Il manque des bouts de code pour cerner le problème. D'autre part, il me semble que tu pourrais finalement faire ton test directement en SQL et renforcer la sécu de ta requête en ajoutant le créateur directement dedans :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
$Requete = "UPDATE forum_mp_titre SET createur_delete = '1' WHERE id = '$cle' AND createur = '$_SESSION['MM_Username']'";
if(mysql_query($Requete, $onestream)) {
echo 'ok';
}
else {
die('erreur');
}

[Fench]

Par contre, si les var_dump() te sortent 'tata' et 'toto' bin ton test fonctionne vu qu'elle ne sont pas égales

ET

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
En fait j'ai l'impression que si car le !empty($_POST['suprimer']) est dans les 2 branches du test, a priori il ne reste donc que le test sur les 2 variables pour les différencier. Le $_POST['supprimer'] doit contenir les checkbox cochées dans un tableau.

Dans la logique même tu as raison, je pense en avoir plus du code pour mieux comprendre son problème.
Code: c'est à dire les parties qui initialisent les 3 membres.

[black-hat]

Je ne pense pas que le problème vient des deux variables:
($_SESSION['MM_Username'] == $row_Recordset['createur']))Par contre ton $_POST est spécial, c'est quoi cette valeur ? Comment est initialisé ce champ ?

Non je ne crois pas que le problème viendrais de la car si je fait une simple requête sans condition le message voulu se met a jour

[Fench]

Ah oui mais j'avais pas du tout saisi que la variable est un tableau par lui même. Dans ce cas oui, c'est cette comparaison qui est pas bonne car il compare que sur le premier élément (voir le test).

alors c un var_dump de $row_Recordset qu'il faudrait faire pour voir la structure et utiliser la bonne comparaison.

[Djakisback]

Salut,
que donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
var_dump($_SESSION['MM_Username']);
var_dump($row_Recordset['createur'])
 
if (!empty($_POST['suprimer']) &&  ($_SESSION['MM_Username'] == $row_Recordset['createur'])) {
...

D'autre part ton code peut être factorisé et ça enlève un test inutile :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
if (!empty($_POST['suprimer']) {
if($_SESSION['MM_Username'] == $row_Recordset['createur']) {
}
else {
}
}

Idem, je vois pas trop ce que tu fais ici, ça fait double emploi avec ton autre test :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$colname = "-1";
if (isset($_SESSION['MM_Username'])) {
  $colname = $_SESSION['MM_Username'];
}
 
$row_Recordset['createur'] = $colname

Si je comprends bien quand isset($_SESSION['MM_Username']) alors l'utilisateur est authentifié ?

Enfin, t'as un gros trou de sécurité :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$cle = '1\' OR id != \'0';
$Requete = "UPDATE forum_mp_titre SET createur_delete = '1' WHERE id = '$cle' ";

http://www.php.net/manual/fr/mysqli....ape-string.php