Discussion :

[afibase]

bonjour,
Voici mon script d'identification avec 2 champs, 1 champ utilisateur et 1 champ mot de passe. Malheureusement que le mot de passe soit bon ou pas il autorise l'accès au site. Je n'arrive pas à y remédier, pourriez vous m'aider en restant basique. Merci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
 
<?php
$mdp=$_POST['mdp'];		
if (isset($_POST['submit']))
{
	if (isset($_POST['utilisateur']) && $_POST['utilisateur'] == "")
	{
		echo "Remplir le champ utilisateur<BR>\n";
	}
	elseif (isset($_POST['mdp']) && $_POST['mdp'] == "")
 	{
	echo "Remplir le champ mot de passe<BR>\n";
	}
else{
require ("Connect.php");
$connexion = mysql_pconnect (SERVEUR, NOM, PASSE);
mysql_select_db (BASE,$connexion);
$sql = "SELECT mdp FROM user WHERE  mdp='$_POST[mdp]'";
	if (isset($_POST['mdp']) && $_POST['mdp'] == "$mdp")
	{ 
	echo"<a href=accueil.html><h1>Autorisé</h1></a>"	;
  	}
}
} 
?>

[Bovino]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$mdp=$_POST['mdp'];

puis

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if (isset($_POST['mdp']) && $_POST['mdp'] == "$mdp")

Comment comptes-tu que $mdp et $_POST['mdp'] soient différents ?

[s.n.a.f.u]

Un peu dangereux comme script :

- pas de protection du $_POST : c'est la porte ouverte aux injections SQL
- le mot de passe n'est pas crypté

http://www.developpez.net/forums/d87...bonne-methode/

[Tsilefy]

En addition, la requête mysql n'est jamais exécutée. Il manque mysql_query et une fonction mysql_fetch_*

Et puisque tu sembles réellement débuter, n'utilise pas les fonctions mysql, elles sont potentiellement dangereuses et surtout obsolètes. Utilises plutôt PDO avec des requêtes préparées et des paramètres liées, ça te fera gagner du temps.
http://php.developpez.com/faq/sgbd/?page=pdo#pdo-query
http://fmaz.developpez.com/tutoriels...omprendre-pdo/

[afibase]

bovino explique toi si te plait !

je ne vois toujours pas ou vous voulez en venir tous !!!

[Bovino]

Je ne parlerai qu'en présence de mon avocat...

Ceci dit, c'est plutôt clair ce que j'ai dit...
Si tu affectes à a la valeur de b puis que sans rien changer à ces deux valeurs, tu testes si a vaut bien la même chose que b, je ne vois pas comment le test peut être faux...

[hugodu28]

bonjour, et oui moi aussi au début j'ai fait la même boulette que toi.
Quand tu poste le formulaire, l'utisateur et le mot de passe voyagent en clair du client vers le serveur.

Il faut donc travailler la donnée.

Ce premier lien pour le code qui va bien:
http://www.developpez.net/forums/d12...ction-hashage/

Ce second pour te faire découvrir de façon ultra simple les différentes actions possibles d'un hacker.
http://www.developpez.net/forums/d12.../mvc-securite/

Ne pas oublier de voter

[Tsilefy]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$connexion = mysql_pconnect (SERVEUR, NOM, PASSE);
mysql_select_db (BASE,$connexion);
$sql = "SELECT mdp FROM user WHERE  mdp='$_POST[mdp]'";

Je ne reviendrai pas sur les problèmes de sécurité, mais ce code n'est pas complet. Il te manque la fonction pour interroger la base de données (mysql_query) et une fonction pour collecter le résultat (mysql_fetch_*).

[afibase]

bon je me mets au boulot et merci !!