IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

Echec de vérification si un utilisateur est bien connecté , variable de session non passer


Sujet :

Langage PHP

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre régulier
    Homme Profil pro
    Lycéen
    Inscrit en
    Juillet 2012
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bolivie

    Informations professionnelles :
    Activité : Lycéen
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Juillet 2012
    Messages : 8
    Par défaut Echec de vérification si un utilisateur est bien connecté , variable de session non passer
    Bonjour ,
    Je débute en PHP et je veux créer une connexion sécuriser , pour cela j’ai suivi ce tuto :
    http://fr.wikihow.com/cr%C3%A9er-un-...c-PHP-et-MySQL

    Mon souci est que je me connecte bien quand j’appelle la fonction login , dans celle-ci je peux voir que des variables de session :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    function login($email, $password, $mysqli) {
     
        // L’utilisation de déclarations empêche les injections SQL
        if ($stmt = $mysqli->prepare("SELECT id, username, password, salt 
            FROM members
           WHERE email = ?
            LIMIT 1")) {
            $stmt->bind_param('s', $email);  // Lie "$email" aux paramètres.
            $stmt->execute();    // Exécute la déclaration.
            $stmt->store_result();
     
            // Récupère les variables dans le résultat
            $stmt->bind_result($user_id, $username, $db_password, $salt);
            $stmt->fetch();
     
            // Hashe le mot de passe avec le salt unique
            $password = hash('sha512', $password . $salt);
            if ($stmt->num_rows == 1) {
                // Si l’utilisateur existe, le script vérifie qu’il n’est pas verrouillé
                // à cause d’essais de connexion trop répétés 
     
                if (checkbrute($user_id, $mysqli) == true) {
                    // Le compte est verrouillé 
                    // Envoie un email à l’utilisateur l’informant que son compte est verrouillé
                    return false;
                } else {
                    // Vérifie si les deux mots de passe sont les mêmes
                    // Le mot de passe que l’utilisateur a donné.
                    if ($db_password == $password) {
                        // Le mot de passe est correct!
                        // Récupère la chaîne user-agent de l’utilisateur
                        $user_browser = $_SERVER['HTTP_USER_AGENT'];
                        // Protection XSS car nous pourrions conserver cette valeur
                        $user_id = preg_replace("/[^0-9]+/", "", $user_id);
                        $_SESSION['user_id'] = $user_id;
                        // Protection XSS car nous pourrions conserver cette valeur
                        $username = preg_replace("/[^a-zA-Z0-9_\-]+/", 
                                                                    "", 
                                                                    $username);
                        $_SESSION['username'] = $username;
                        $_SESSION['login_string'] = hash('sha512', 
                                  $password . $user_browser);
     
                        // Ouverture de session réussie.
                        return true;
                    } else {
                        // Le mot de passe n’est pas correct
                        // Nous enregistrons cet essai dans la base de données
                        $now = time();
                        $mysqli->query("INSERT INTO login_attempts(user_id, time)
                                        VALUES ('$user_id', '$now')");
                        return false;
                    }
                }
            } else {
                // L’utilisateur n’existe pas.
                return false;
            }
        }
    }
    Précisément ces variables:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    $_SESSION['user_id'] = $user_id;
                        // Protection XSS car nous pourrions conserver cette valeur
                        $username = preg_replace("/[^a-zA-Z0-9_\-]+/", 
                                                                    "", 
                                                                    $username);
                        $_SESSION['username'] = $username;
                        $_SESSION['login_string'] = hash('sha512', 
                                  $password . $user_browser);
    Cette fonction je l'appelle sur cette page "process_login.php"
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    <?php
    include_once 'db_connect.php';
    include_once 'functions.php';
     
    sec_session_start(); // Notre façon personnalisée de démarrer la session PHP
     
    if (isset($_POST['email'], $_POST['p'])) {
        $email = $_POST['email'];
        $password = $_POST['p']; // Le mot de passe hashé.
     
        if (login($email, $password, $mysqli) == true) {
            // Connecté 
    		echo "connecter";
     
     
           header('Location: test.php');
        } else {
            // Pas connecté 
            header('Location: ../index.php?error=1');
        }
    } else {
        // Les variables POST correctes n’ont pas été envoyées à cette page
        echo 'Invalid Request';
    }
    Comme vous pouvez le constater , je suis bien connecter car cette page me redirige vers mon autre page "test.php".
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    <?php
    include_once 'db_connect.php';
    include_once  'functions.php';
     
     
    if(login_check($mysqli) == true) {
    			echo "login_check OK ";
    } else { 
            echo 'Vous n’êtes pas autorisé à accéder à ce contenu, veuillez vous connecter.';
    }
     
     
    ?>
    Le problème quand je change de page et que je teste si l’user est bien connecter , il ne retrouve plus les variables de session et me dis que je ne suis pas connecter , de plus quand je test cette fonction(login_check) sur la page process_login.php il trouve bien que je suis connecter .

    je vous met la page function.php au complet:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    156
    157
    158
    159
    160
    161
    162
    163
    164
    165
    166
    167
    168
    169
    170
    171
    172
    173
    174
    175
    176
    177
    178
    179
    180
    181
    182
    183
    184
    185
    186
    187
    188
    189
    190
    191
    192
    <?php
    include_once 'psl-config.php';
     
    function sec_session_start() {
        $session_name = 'sec_session_id';   // Attribue un nom de session
        $secure = SECURE;
        // Cette variable empêche Javascript d’accéder à l’id de session
        $httponly = true;
        // Force la session à n’utiliser que les cookies
        if (ini_set('session.use_only_cookies', 1) === FALSE) {
            header("Location: ../error.php?err=Could not initiate a safe session (ini_set)");
            exit();
        }
        // Récupère les paramètres actuels de cookies
        $cookieParams = session_get_cookie_params();
        session_set_cookie_params($cookieParams["lifetime"],
            $cookieParams["path"], 
            $cookieParams["domain"], 
            $secure,
            $httponly);
        // Donne à la session le nom configuré plus haut
        session_name($session_name);
        session_start();            // Démarre la session PHP 
        session_regenerate_id();    // Génère une nouvelle session et efface la précédente
     
    }
    function login($email, $password, $mysqli) {
     
        // L’utilisation de déclarations empêche les injections SQL
        if ($stmt = $mysqli->prepare("SELECT id, username, password, salt 
            FROM members
           WHERE email = ?
            LIMIT 1")) {
            $stmt->bind_param('s', $email);  // Lie "$email" aux paramètres.
            $stmt->execute();    // Exécute la déclaration.
            $stmt->store_result();
     
            // Récupère les variables dans le résultat
            $stmt->bind_result($user_id, $username, $db_password, $salt);
            $stmt->fetch();
     
            // Hashe le mot de passe avec le salt unique
            $password = hash('sha512', $password . $salt);
            if ($stmt->num_rows == 1) {
                // Si l’utilisateur existe, le script vérifie qu’il n’est pas verrouillé
                // à cause d’essais de connexion trop répétés 
     
                if (checkbrute($user_id, $mysqli) == true) {
                    // Le compte est verrouillé 
                    // Envoie un email à l’utilisateur l’informant que son compte est verrouillé
                    return false;
                } else {
                    // Vérifie si les deux mots de passe sont les mêmes
                    // Le mot de passe que l’utilisateur a donné.
                    if ($db_password == $password) {
                        // Le mot de passe est correct!
                        // Récupère la chaîne user-agent de l’utilisateur
                        $user_browser = $_SERVER['HTTP_USER_AGENT'];
                        // Protection XSS car nous pourrions conserver cette valeur
                        $user_id = preg_replace("/[^0-9]+/", "", $user_id);
                        $_SESSION['user_id'] = $user_id;
                        // Protection XSS car nous pourrions conserver cette valeur
                        $username = preg_replace("/[^a-zA-Z0-9_\-]+/", 
                                                                    "", 
                                                                    $username);
                        $_SESSION['username'] = $username;
                        $_SESSION['login_string'] = hash('sha512', 
                                  $password . $user_browser);
     
                        // Ouverture de session réussie.
                        return true;
                    } else {
                        // Le mot de passe n’est pas correct
                        // Nous enregistrons cet essai dans la base de données
                        $now = time();
                        $mysqli->query("INSERT INTO login_attempts(user_id, time)
                                        VALUES ('$user_id', '$now')");
                        return false;
                    }
                }
            } else {
                // L’utilisateur n’existe pas.
                return false;
            }
        }
    }
     
    function checkbrute($user_id, $mysqli) {
        // Récupère le timestamp actuel
        $now = time();
     
        // Tous les essais de connexion sont répertoriés pour les 2 dernières heures
        $valid_attempts = $now - (2 * 60 * 60);
     
        if ($stmt = $mysqli->prepare("SELECT time 
                                 FROM login_attempts <code><pre>
                                 WHERE user_id = ? 
                                AND time > '$valid_attempts'")) {
            $stmt->bind_param('i', $user_id);
     
            // Exécute la déclaration. 
            $stmt->execute();
            $stmt->store_result();
     
            // S’il y a eu plus de 5 essais de connexion 
            if ($stmt->num_rows > 5) {
                return true;
            } else {
                return false;
            }
        }
    }
     
    function login_check($mysqli) {
     
        // Vérifie que toutes les variables de session sont mises en place
        if (isset($_SESSION['user_id'], 
                            $_SESSION['username'], 
                            $_SESSION['login_string'])) {
     
            $user_id = $_SESSION['user_id'];
            $login_string = $_SESSION['login_string'];
            $username = $_SESSION['username'];
     
     
            // Récupère la chaîne user-agent de l’utilisateur
            $user_browser = $_SERVER['HTTP_USER_AGENT'];
     
            if ($stmt = $mysqli->prepare("SELECT password 
                                          FROM members 
                                          WHERE id = ? LIMIT 1")) {
                // Lie "$user_id" aux paramètres. 
                $stmt->bind_param('i', $user_id);
                $stmt->execute();   // Exécute la déclaration.
                $stmt->store_result();
     
                if ($stmt->num_rows == 1) {
                    // Si l’utilisateur existe, récupère les variables dans le résultat
                    $stmt->bind_result($password);
                    $stmt->fetch();
                    $login_check = hash('sha512', $password . $user_browser);
     
                    if ($login_check == $login_string) {
                        // Connecté!!!! 
                        return true;
                    } else {
                        // Pas connecté 
                        return false;
                    }
                } else {
                    // Pas connecté 
                    return false;
                }
            } else {
                // Pas connecté 
                return false;
            }
        } else {
            // Pas connecté 
            return false;
        }
    }
    function esc_url($url) {
     
        if ('' == $url) {
            return $url;
        }
     
        $url = preg_replace('|[^a-z0-9-~+_.?#=!&;,/:%@$\|*\'()\\x80-\\xff]|i', '', $url);
     
        $strip = array('%0d', '%0a', '%0D', '%0A');
        $url = (string) $url;
     
        $count = 1;
        while ($count) {
            $url = str_replace($strip, '', $url, $count);
        }
     
        $url = str_replace(';//', '://', $url);
     
        $url = htmlentities($url);
     
        $url = str_replace('&amp;', '&', $url);
        $url = str_replace("'", ''', $url);
     
        if ($url[0] !== '/') {
            // Nous ne voulons que les liens relatifs de $_SERVER['PHP_SELF']
            return '';
        } else {
            return $url;
        }
    }

    je m’arrache les cheveux depuis quelques heurs avez-vous une idée sur ce qui cloche ?

  2. #2
    Membre Expert

    Profil pro
    Inscrit en
    Mai 2008
    Messages
    1 576
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2008
    Messages : 1 576
    Par défaut
    Il faut que tu appelles sec_session_start(); sur chaque page où tu utilises les sessions

  3. #3
    Membre régulier
    Homme Profil pro
    Lycéen
    Inscrit en
    Juillet 2012
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bolivie

    Informations professionnelles :
    Activité : Lycéen
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Juillet 2012
    Messages : 8
    Par défaut
    Alors oui déjà ça mais il y a toujours le même soucis.

  4. #4
    Membre Expert

    Profil pro
    Inscrit en
    Mai 2008
    Messages
    1 576
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2008
    Messages : 1 576
    Par défaut
    Fais un dans test.php et regarde le contenu.

  5. #5
    Membre régulier
    Homme Profil pro
    Lycéen
    Inscrit en
    Juillet 2012
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bolivie

    Informations professionnelles :
    Activité : Lycéen
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Juillet 2012
    Messages : 8
    Par défaut
    merci de ta réponse , voici le resultat , donc j'en conclu qui n'y a pas de var de session
    array (size=0)
    empty

  6. #6
    Membre Expert

    Profil pro
    Inscrit en
    Mai 2008
    Messages
    1 576
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2008
    Messages : 1 576
    Par défaut
    Ok,ouvre process_login comme d'habitude (pour t'authentifier), et ensuite ouvre test.php, mais avec seulement ceci comme contenu (rien d'autre, pas d'includes):
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
     
    session_start();
    var_dump($_SESSION);

Discussions similaires

  1. Réponses: 3
    Dernier message: 02/07/2014, 13h17
  2. Comment savoir si le mobile est bien connecté à internet
    Par PaloPalo dans le forum Développement Mobile en Java
    Réponses: 2
    Dernier message: 16/08/2012, 12h00
  3. En Java, c'est bien un passage par référence non ?
    Par _LittleFlea_ dans le forum Général Java
    Réponses: 11
    Dernier message: 17/12/2010, 10h45
  4. Réponses: 4
    Dernier message: 25/07/2010, 18h36
  5. [CF][C#]Comment déterminer si mon PPC est bien connecté?
    Par royrremi dans le forum Windows Mobile
    Réponses: 2
    Dernier message: 07/03/2006, 15h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo