Discussion :

[trippy971]

Bonjour j'essaie de mettre en place en php pdo , la connexion d'un membre sur mon site mais j'ai erreur que j'essaie de résoudre depuis maintenant 2 jours :

Warning: PDOStatement::execute(): SQLSTATE[HY093]: Invalid parameter number: parameter was not defined in C:\wamp\www\Projet\connexion2.php on line 90

La ligne 90 est la suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$y->execute(array($_POST['mail']));

Voila mon script PHP:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
<?php
//Connexion à la base de donnée.
$BDD_hote = 'localhost';
$BDD_bd = 'projet';
$BDD_utilisateur = 'root';
$BDD_mot_passe = 'scandal';
try{
	$bdd = new PDO('mysql:host='.$BDD_hote.';dbname='.$BDD_bd, $BDD_utilisateur, $BDD_mot_passe);
	$bdd->exec("SET CHARACTER SET utf8");
	$bdd->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING);
}
catch(PDOException $e){
	echo 'Erreur : '.$e->getMessage();
	echo 'N° : '.$e->getCode();	
}
// Hachage du mot de passe
$pass_hache = sha1($_POST['pwd0']);
// Vérification des identifiants
if(isset($_POST) && isset($_POST['mail']) AND isset($_POST['pwd0'])){
	$y = $bdd->prepare("SELECT FROM * FROM client WHERE mail = :mail");
	$y->execute(array($_POST['mail']));
	$x = $y->fetch();
	if ($x[0] == 0){
		echo 'Cette adresse email n\'existe pas';
	}else{
		$e = $bdd->prepare("SELECT password FROM client WHERE password = password");
		$e->execute(array($_POST['mail']));
		$rep = $e->fetch();
		$passe = sha1($_POST['pwd0']);
		if ($passe == $rep['pwd0']){
			$_SESSION['utilisateur'] = $_POST['mail'];
			header('Location: compte.php'); 
		}else{
			echo 'Mot de passe incorrect';
		}
	}
}
?>

Quelqu'un pourrait m'aider s'il vous plait?

[Bovino]

Il suffit de lire le message en fait (bon, regarder les lignes concernées est un petit plus, l'astuce du pro quoi ).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$e = $bdd->prepare("SELECT password FROM client WHERE password = password");
$e->execute(array($_POST['mail']));

Tu exécutes une requête préparée en lui assignant un paramètre, mais je ne vois pas trop où mettre le paramètre dans ta requête...

[trippy971]

J'ai modifié mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$e = $bdd->prepare('SELECT * FROM client WHERE password = :password');
$e->execute(array($_POST['pwd0']));

mais le problème reste toujours le même

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$y->execute(array($_POST['mail']));

[trippy971]

Alors j'ai trouvé une solution

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
if(isset($_POST) && isset($_POST['mail']) AND isset($_POST['pwd0'])){
	$y = $bdd->prepare('SELECT * FROM  client WHERE mail = :mail');
	$y->execute(array(
	'mail' => $_SESSION['mail']));
	$x = $y->fetch();
	if ($x[0] == 0){
		echo 'Cette adresse email n\'existe pas';
	}else{
		$e = $bdd->prepare('SELECT * FROM client WHERE password = :password');
		$e->execute(array(
		'password' => $_SESSION['pwd0']));
		$rep = $e->fetch();
		$passe = ($_POST['pwd0']);
		if ($passe == $rep['pwd0']){
			$_SESSION['utilisateur'] = $_POST['mail'];
			header('Location: compte.php'); 
		}else{
			echo 'Mot de passe incorrect';
		}
	}
}

Cependant j'ai du retiré le hachage du mot de passe pour que cela fonctionne, sinon avec le hachage du mot de passe il ne reconnait pas le mot de passe.

[Bovino]

C'est sûr que si tu stockes les mots de passe en clair, ça risque pas d'aider de les comparer avec un hashage...

Pour info, il ne faut jamais stocker des mots de passe en clair !

[ABCIWEB]

J'ajoute qu'en plus d'être une faille béante pour tout pirate qui aurait accès à la bdd, c'est aussi une faute déontologique car personne (vraiment personne) ne doit être en mesure de pouvoir récupérer directement un mot de passe. En cas de piratage tu serais tenu pour responsable du vol des mots de passe et de ses conséquences...