Discussion :

[trippy971]

Bonjour j'essaie de mettre en place en php pdo , la connexion d'un membre sur mon site mais j'ai erreur que j'essaie de résoudre depuis maintenant 2 jours :

Warning: PDOStatement::execute(): SQLSTATE[HY093]: Invalid parameter number: parameter was not defined in C:\wamp\www\Projet\connexion2.php on line 90

La ligne 90 est la suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$y->execute(array($_POST['mail']));

Voila mon script PHP:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
<?php
//Connexion à la base de donnée.
$BDD_hote = 'localhost';
$BDD_bd = 'projet';
$BDD_utilisateur = 'root';
$BDD_mot_passe = 'scandal';
try{
	$bdd = new PDO('mysql:host='.$BDD_hote.';dbname='.$BDD_bd, $BDD_utilisateur, $BDD_mot_passe);
	$bdd->exec("SET CHARACTER SET utf8");
	$bdd->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING);
}
catch(PDOException $e){
	echo 'Erreur : '.$e->getMessage();
	echo 'N° : '.$e->getCode();	
}
// Hachage du mot de passe
$pass_hache = sha1($_POST['pwd0']);
// Vérification des identifiants
if(isset($_POST) && isset($_POST['mail']) AND isset($_POST['pwd0'])){
	$y = $bdd->prepare("SELECT FROM * FROM client WHERE mail = :mail");
	$y->execute(array($_POST['mail']));
	$x = $y->fetch();
	if ($x[0] == 0){
		echo 'Cette adresse email n\'existe pas';
	}else{
		$e = $bdd->prepare("SELECT password FROM client WHERE password = password");
		$e->execute(array($_POST['mail']));
		$rep = $e->fetch();
		$passe = sha1($_POST['pwd0']);
		if ($passe == $rep['pwd0']){
			$_SESSION['utilisateur'] = $_POST['mail'];
			header('Location: compte.php'); 
		}else{
			echo 'Mot de passe incorrect';
		}
	}
}
?>

Quelqu'un pourrait m'aider s'il vous plait?

[Bovino]

Il suffit de lire le message en fait (bon, regarder les lignes concernées est un petit plus, l'astuce du pro quoi ).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$e = $bdd->prepare("SELECT password FROM client WHERE password = password");
$e->execute(array($_POST['mail']));

Tu exécutes une requête préparée en lui assignant un paramètre, mais je ne vois pas trop où mettre le paramètre dans ta requête...

[trippy971]

J'ai modifié mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$e = $bdd->prepare('SELECT * FROM client WHERE password = :password');
$e->execute(array($_POST['pwd0']));

mais le problème reste toujours le même

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$y->execute(array($_POST['mail']));

[trippy971]

Alors j'ai trouvé une solution

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
if(isset($_POST) && isset($_POST['mail']) AND isset($_POST['pwd0'])){
	$y = $bdd->prepare('SELECT * FROM  client WHERE mail = :mail');
	$y->execute(array(
	'mail' => $_SESSION['mail']));
	$x = $y->fetch();
	if ($x[0] == 0){
		echo 'Cette adresse email n\'existe pas';
	}else{
		$e = $bdd->prepare('SELECT * FROM client WHERE password = :password');
		$e->execute(array(
		'password' => $_SESSION['pwd0']));
		$rep = $e->fetch();
		$passe = ($_POST['pwd0']);
		if ($passe == $rep['pwd0']){
			$_SESSION['utilisateur'] = $_POST['mail'];
			header('Location: compte.php'); 
		}else{
			echo 'Mot de passe incorrect';
		}
	}
}

Cependant j'ai du retiré le hachage du mot de passe pour que cela fonctionne, sinon avec le hachage du mot de passe il ne reconnait pas le mot de passe.

[Bovino]

C'est sûr que si tu stockes les mots de passe en clair, ça risque pas d'aider de les comparer avec un hashage...

Pour info, il ne faut jamais stocker des mots de passe en clair !

[ABCIWEB]

J'ajoute qu'en plus d'être une faille béante pour tout pirate qui aurait accès à la bdd, c'est aussi une faute déontologique car personne (vraiment personne) ne doit être en mesure de pouvoir récupérer directement un mot de passe. En cas de piratage tu serais tenu pour responsable du vol des mots de passe et de ses conséquences...

[trippy971]

J'ai stocké mes mots de passe hachés dans ma base de données me=ais maintenant je n'arrive pas à me connecter...

[ABCIWEB]

Mais encore ?

Qu'as-tu essayé ? Montres-nous le code utile.

[trippy971]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<?php
include_once 'config.php';
if(isset($_POST) && isset($_POST['mail']) AND isset($_POST['passe'])){
	$y = $bdd->prepare('SELECT COUNT(*) FROM client WHERE mail =?');
	$y->execute(array($_POST['mail']));
	$x = $y->fetch();
	if ($x[0] == 0){
		echo 'Cette adresse email n\'existe pas';
	}
	else{
		$e = $bdd->prepare('SELECT password FROM client WHERE password = ?');
		$e->execute(array($_POST['password']));
		$passe = sha1($_POST['passe']);
		$rep = $e->fetch();
		if ($passe == $rep['password']){
			session_start();
			$_SESSION['utilisateur'] = $_POST['mail'];
			header('Location: compte.php'); 
		}
		else{
			echo 'Mot de passe incorrect';
		}
	}
}
?>

Les mots de passe ne correspondent pas lors de la comparaison... alors que j'ai utilisé le hachage..

[ABCIWEB]

Normal il faut faire le test sur le password hasché

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
//...
                $passe = sha1($_POST['passe']);
		$e = $bdd->prepare('SELECT  COUNT(*) FROM client WHERE password = ?');
		$e->execute(array($passe));
 
		$rep = $e->fetchColumn();
		if ($rep == 1)
                {
			session_start();
			$_SESSION['utilisateur'] = $_POST['mail'];
			header('Location: compte.php'); 
		}
		else{
			echo 'Mot de passe incorrect';
		}
	}
}
?>

[trippy971]

Merci beaucoup pour la solution proposé mais le mot de passe est toujours incorrect(bien sur je me suis assuré que c'était bien le bon mot de passe) , cependant j'ai remarqué que pour la ligne suivante

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if ($rep == 1)

si je remplace le 1 par 0 cela fonctionne et même sans entrer de mot de passe :o , alors je suis surement bête mais j'aimerais comprendre pourquoi...et le fetchColumn correspond à quoi..la colonne de mon mot de passe dans ma bdd est la 13...

[ABCIWEB]

Bête je sais pas, mais assurément tu n'avanceras pas vite si tu ne te documente pas un peu plus Pour fetchColumn il y a un exemple ici (exemple n°2). C'est pratique pour ne récupérer qu'un résultat, dans ton cas le résultat du COUNT. C'est une alternative plus rapide que le fetch() suivi du if ($x[0] == 0) que tu faisais plus haut pour la requête du mail. Donc évidemment si la requête ne trouve pas de résultat cela retourne 0.

Pour le reste vérifies (avec phpmyadmin) que dans ta bdd le mot de passe a bien la même valeur que echo sha1($_POST['passe']). Si oui c'est que tu as un pb au niveau de ta requête, fais afficher les erreurs.

Ensuite il y a un pb logique dans ta façon de faire. Actuellement dans tes requêtes rien ne relie le mail et le pass. Un utilisateur ayant un mail authentifié pourrait éventuellement se servir d'un mot de passe d'un autre utilisateur.
Pour éviter ça tu pourrais faire une seule requête sur les deux champs à la fois :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 'SELECT  COUNT(*) FROM client WHERE mail = ? AND password = ?'

Ou encore récupérer le pass en fonction du mail pour ensuite le comparer à sha1($_POST['passe'])

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

'SELECT password FROM client WHERE mail = ?'

[trippy971]

Merci de m'avoir répondu alors j'ai fais un echo de sha1($_POST['passe']) et j'ai la même valeur stocké dans ma bdd + d'autres chiffres (ex : 9cf95dacd226dcf43da376cdb6cbba7035218921 sachant que "9cf95dacd226" est le mot de passe .

En ce qui concerne la relation entre le mail et le mot de passe je vais suivre ton conseil

[ABCIWEB]

Et bien il y a un problème dans ta bdd. En admettant que le passe soit 'toto', dans le champ de la base donnée devrait se trouver la valeur de echo sha1('toto'); soit '0b9c2625dc21ef05f6ad4ddf47c5f203837aa32c' et rien d'autre.

[trippy971]

Alors oui effectivement j'ai refais ma base de données et maintenant le script fonctionne j'arrive à me connecter . Encore merci beaucoup pour l'aide apportée sur ce topic