Discussion :

[chipmunkette]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php
session_start();
$_SESSION["login"]=$_POST["login"];
$_SESSION["password"]=$_POST["pass"];
 
try {$bdd = new PDO('mysql:host=localhost;dbname=Projet4', 'root', '');}
catch (Exception $e) {die("L'accès à la base de donnée est impossible.");}
 
if (empty($_SESSION["login"]) or empty($_SESSION['pass'])) {
    echo "veuillez saisir un login et un mot de passe";
}
else {
    $st = $bdd->query("SELECT COUNT(*) FROM administrateur WHERE login='".$_SESSION["login"]."' AND password='".$_SESSION["pass"]."'")->fetch();
    if ($st['COUNT(*)'] == 1)
        header("Location: ModifSite.php");
}
?>

Quand j'entre le mot de passe et le login il n'est pas reconnu

en mysql sa donné sa :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?php
session_start();
$_SESSION["login"]=$_POST["login"];
$_SESSION["pass"]=$_POST["pass"];
$db = mysql_connect("localhost","root","") or die ("Erreur de connexion :".mysql_error());
$maBase =mysql_select_db("Projet4") or die ("Erreur de base : ".mysql_error());
if ($maBase) {
$query="SELECT * FROM administrateur WHERE login='".$_SESSION["login"]."';";
$result=mysql_query($query);
$ligne = mysql_fetch_array($result, MYSQL_ASSOC);
// je controle si les champs sont vides.
if (($_SESSION["login"] == "") or ($_SESSION['pass'] == ""))
echo"veuillez saisir un login et un mot de passe";
//je réaffiche le formulaire.
else {
//je contrôle si le mot de passe correspond avec celui présent dans la base
if (($_SESSION["pass"]== "".$ligne['password'].""))
{
echo"Bienvenue";
header("Location:ModifSite.php");
}
 
else {
echo"Erreur d'authentification";
//je réaffiche le formulaire de saisie
}
}
}
?>

[reverb94]

Bonjour Chipmunkette,

Pour commencer ^^ un conseil, créer un nouveau fichier que tu nommera ( par exemple ) connexion1.inc.php ( le inc.php permet une meilleur lisibilité du fichier, et c'est un petit mémento qui rappel que c'est une connexion à une base de donnée qui se trouve à l'intérieur ).

tu y insérera juste ton code php ( fonctionnalité pdo ) pour ta connexion à ta base de donnée qui devrait ressemblé à ça :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
<?php
try
{
	$dns = 'mysql:host=localhost;dbname=LeNomDeTaBDD';
  $utilisateur = 'UtilisateurDeTaBDD';
  $motDePasse = 'MotDePasseDeUtilisateurDeTaBDDActuel';
  $bdd = new PDO( $dns, $utilisateur, $motDePasse, array (PDO::MYSQL_ATTR_INIT_COMMAND=>'SET NAMES utf8',PDO::ATTR_ERRMODE=>PDO::ERRMODE_EXCEPTION));
/* set name utf8 seulement si tes bases de données sont configurés en interclassement utf8 */
}
catch (Exception $e)
{
        die('Erreur : ' . $e->getMessage());
}
?>

Ensuite dans ton fichier tu fera appel à ta connexion grâce à : Require_once ( tu ne peux faire apel qu'une seule fois à cette connexion dans un même fichier, sinon utilise require tout simple )

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
<?php
session_start();
$_SESSION["login"]=$_POST["login"];
$_SESSION["password"]=$_POST["pass"];
 
require_once('connexion1.inc.php');
 
if (empty($_SESSION["login"]) or empty($_SESSION['pass'])) {
    echo "veuillez saisir un login et un mot de passe";
}
else {
    $st = $bdd->query("SELECT COUNT(*) FROM administrateur WHERE login='".$_SESSION["login"]."' AND password='".$_SESSION["pass"]."'")->fetch();
    if ($st['COUNT(*)'] == 1)
        header("Location: ModifSite.php");
}
?>

Voilà si tu as encore des soucis à ce propos n'hésite pas à poser tes questions ^^.
Cordialement.

[sabotage]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$_SESSION["login"]=$_POST["login"];
$_SESSION["password"]=$_POST["pass"];

C'est sympa, on tape n'importe quoi comme login/pass et ca valide une session.

[Invité]

Bonjour Chipmunkette,
Pour commencer ^^ un conseil, créer un nouveau fichier que tu nommera ( par exemple ) connexion1.inc.php ...

Bonjour,
C'est un bon conseil, mais alors il faut le blinder.. en effet tout commence par une faille (par exemple un txt ou une fausse image qui se renomme en php
et va voler les codes d’accès. le php n'ayant plus rien que le login !
Alors c'est simple avant ton

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

require_once('connexion1.inc.php');

tu crées une variable et il suffit de bloquer ton connexion1.inc.php comme ceci.

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
<?php
if (!isset($securite))
 {
 echo '<meta http-equiv="refresh" content="0;URL=http://www.TONSITE/index.php">';
 exit;
 }
try
{
//==etc...
}
?>

Puis,

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
<?php
session_start();
$securite=99; 
require_once('connexion1.inc.php');
?>

[sabotage]

en effet tout commence par une faille (par exemple un txt ou une fausse image qui se renomme en php
et va voler les codes d’accès. le php n'ayant plus rien que le login !

Je ne comprends pas bien de quoi tu veux protéger.
Si une personne malveillante avait accès aux fichier sur le serveur, il pourrait voir le tiens également.
Si l'interpreteur PHP buggait et donnait le code, il le ferrait dans ton cas également.
Pour se prémunir de ce dernier cas, il suffit de placer le fichier de connexion en dehors du serveur web ou dans un repertoire non distribué.

[Invité]

Pour se prémunir de ce dernier cas, il suffit de placer le fichier de connexion en dehors du serveur web ou dans un répertoire non distribué.

Bonsoir,
Oui Vincent, OK avec toi, mais beaucoup n'ont pas accès a la racine avec leur FTP, voila pourquoi au minimum je fais cela, il faut admettre que le fichier ne peut alors être appelé directement, il s'agit malgré tout d'un "plus" a mon sens.

Bonne fin de Dimanche

[sabotage]

mais beaucoup n'ont pas accès a la racine avec leur FTP

Sur un hébergement mutualisé évidemment on ne peut pas écrire en dehors de l'arborescence web, un simple dossier avec .htaccess restrictif suffit alors.
Mais bon comme je le disais, on ne parle ici que d'un dysfonctionnement de l'interpreteur PHP, donc on ne peut pas s'en premunir avec du code PHP.