Authentification et Gestion Utilisateur

**KazuLife** · 10/07/2017, 18h13

Bonjour à tous,
Actuellement sur un projet PHP pour création d'un blog modèle mvc ( Mon premier projet mvc ) pour cela j'ai suivi un tutoriel que je voudrais à présent améliorer.

Je fais face à un problème pour mon Module de Connexion.

Pour commencer le blog j'ai crée un système d’authentification
à l'aide d'un fichier xml qui sauvegarde mes identifiants.

App.xml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?xml version="1.0" encoding="utf-8" ?>
<definitions>
    <define var="login" value="admin" ></define>
    <define var="pass" value="admin" ></define>
</definitions>

Je voudrais remplacer celui_ci par ma base de données où j'ai crée une table "Users".

Cependant je ne sais pas comment Modifier mon Controlleur pour que cela fonctionne !

Voici le Code de mon ConnexionController.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
class ConnexionController extends BackController
{
    public function executeIndex(HTTPRequest $request)
    {
        $this->page->addVar('title', 'Connexion');
 
        if ($request->postExists('login')) {
            $login = $request->postData('login');
            $password = $request->postData('password');
 
            if ($login == $this->app->config()->get('login') && $password == $this->app->config()->get('pass')) {
                $this->app->user()->setAuthenticated(true);
                $this->app->httpResponse()->redirect('.');
            } else {
                $this->app->user()->setFlash('Le pseudo ou le mot de passe est incorrect.');
            }
        }
    }
 
}

Ainsi que sa Classe Mère le BackController.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
abstract class BackController extends ApplicationComponent
{
    protected $action = '';
    protected $module = '';
    protected $page = null;
    protected $view = '';
    protected $managers = null;
 
    public function __construct(Application $app, $module, $action)
    {
        parent::__construct($app);
 
        $this->managers = new Managers('PDO', PDOFactory::getMysqlConnexion());
        $this->page = new Page($app);
 
        $this->setModule($module);
        $this->setAction($action);
        $this->setView($action);
    }
 
    public function execute()
    {
        $method = 'execute'.ucfirst($this->action);
 
        if (!is_callable([$this, $method]))
        {
            throw new \RuntimeException('L\'action "'.$this->action.'" n\'est pas définie sur ce module');
        }
 
        $this->$method($this->app->httpRequest());
    }
 
    public function page()
    {
        return $this->page;
    }
 
    public function setModule($module)
    {
        if (!is_string($module) || empty($module))
        {
            throw new \InvalidArgumentException('Le module doit être une chaine de caractères valide');
        }
 
        $this->module = $module;
    }
 
    public function setAction($action)
    {
        if (!is_string($action) || empty($action))
        {
            throw new \InvalidArgumentException('L\'action doit être une chaine de caractères valide');
        }
 
        $this->action = $action;
    }
 
    public function setView($view)
    {
        if (!is_string($view) || empty($view))
        {
            throw new \InvalidArgumentException('La vue doit être une chaine de caractères valide');
        }
 
        $this->view = $view;
 
        $this->page->setContentFile(__DIR__.'/../../App/'.$this->app->name().'/Modules/'.$this->module.'/Views/'.$this->view.'.php');
    }
}

J'ai réfléchi à la requête SQL que je devrais utiliser mais comme je le disais je ne sais pas comment l'intégrer dans mon code.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $sql = 'SELECT pseudo,password FROM users WHERE pseudo = :pseudo AND password = :password';

Merci d'avance pour votre réponse et pour aide !
N'hésitez pas à me demander si vous avez besoin de plus de renseignements sur les classes adjacentes !

**jisig** · 10/07/2017, 18h27

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$this->app->config()->get('login')

c'est ce que cette méthode fait qu'il faut changer pour aller chercher dans la bdd plutôt que dans le fichier xml, il faudra aussi lui passer en argument tes variables POST.

**KazuLife** · 10/07/2017, 18h49

Merci Jisig pour ta réponse rapide !

j'ai modifié le code du ConnexionController.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 public function executeIndex(HTTPRequest $request)
    {
        $this->page->addVar('title', 'Connexion');

        if ($request->postExists('login')) {
            $login = $request->postData('login');
            $password = $request->postData('password');
            $sql = 'SELECT pseudo,password FROM users WHERE pseudo = :pseudo AND password = :password';
            if ($login == pseudo.bdd and $password == password.bdd) {
                $this->app->user()->setAuthenticated(true);
                $this->app->httpResponse()->redirect('.');
            } else {
                $this->app->user()->setFlash('Le pseudo ou le mot de passe est incorrect.');
            }
        }
    }

Je dois remplacer les variables " pseudo.bdd et password.bdd " donc avec des Variables POST, pourrais-tu m'aider pour l'écriture exacte ?

**jisig** · 10/07/2017, 19h15

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
public function executeIndex(HTTPRequest $request)
    {
        $this->page->addVar('title', 'Connexion');
 
        if ($request->postExists('login')) {
            $login = $request->postData('login');
            $password = $request->postData('password');
            $sql = 'SELECT pseudo,password FROM users WHERE pseudo = ' . $login . ' AND password = ' . $password;
            if (...) { // dans cette condition tu vérifies si tu as bien récupéré le user depuis ta requête sql
                $this->app->user()->setAuthenticated(true);
                $this->app->httpResponse()->redirect('.');
            } else {
                $this->app->user()->setFlash('Le pseudo ou le mot de passe est incorrect.');
            }
        }
    }

pour moi ça devrait ressembler à un truc du genre

ps : je mettrais plutôt ça dans la partie modèle que controller, manipuler les données depuis les modèles et laisser aux controllers l'aspect logique de l'app.

**KazuLife** · 10/07/2017, 19h39

Merci Jisig ! Désolé pour le temps de réponse je recherche des solutions sur la doc PHP en même temps

Voici le code du ConnexionController.php à nouveau

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 public function executeIndex(HTTPRequest $request)
    {
        $this->page->addVar('title', 'Connexion');
 
        if ($request->postExists('login')) {
            $login = $request->postData('login');
            $password = $request->postData('password');
            $db = ('SELECT pseudo,password FROM users WHERE pseudo = ' . $login . ' AND password = ' . $password);
            if ($login == $_POST['pseudo'] and $password == $_POST['password']) {
                $this->app->user()->setAuthenticated(true);
                $this->app->httpResponse()->redirect('.');
            } else {
                $this->app->user()->setFlash('Le pseudo ou le mot de passe est incorrect.');
            }
        }
    }

J'ai ce message d'erreur pour le moment lorsque je rentre un pseudo et un password :

Notice: Undefined index: pseudo in C:\wamp\www\projet3\App\Backend\Modules\Connexion\ConnexionController.php on line 24

Je ne dois pas encore l'écrire correctement ...

**jisig** · 10/07/2017, 20h14

je suppose que tu as bien ta connexion à ta bdd.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
public function executeIndex(HTTPRequest $request)
    {
        $this->page->addVar('title', 'Connexion');
 
        if ($request->postExists('login')) {
            $login = $request->postData('login');
            $password = $request->postData('password');
            if (mysql_query ('SELECT count(*) FROM users WHERE pseudo = ' . $login . ' AND password = ' . $password) == 1) { // ça doit te retourner un résultat (vu qu'un login est unique) à condition que le mot de passe est bon bien sûr ! après tu traites ça comme tu le sens :) 
                $this->app->user()->setAuthenticated(true);
                $this->app->httpResponse()->redirect('.');
            } else {
                $this->app->user()->setFlash('Le pseudo ou le mot de passe est incorrect.');
            }
        }
    }

ça devrait ressembler à quelque chose du genre, après je ne sais pas si tu utilises pdo... mais le principe reste le même.

**KazuLife** · 10/07/2017, 20h19

Voilà ma connexion à la base de données : PDOFactory.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
class PDOFactory
{
    public static function getMysqlConnexion()
    {
        $db = new \PDO('mysql:host=localhost;dbname=blogecrivainbdd', 'root', '');
        $db->setAttribute(\PDO::ATTR_ERRMODE, \PDO::ERRMODE_EXCEPTION);
 
        return $db;
    }
}

J'essaye ce que tu m'as envoyé de suite merci Jisig

Ps: le mysql_query est déprécié avec le PHP7 si tu peux m'indiquer pour le PDO c'est parfait

**jisig** · 10/07/2017, 20h25

doc ...
http://php.net/manual/fr/pdo.query.php

**KazuLife** · 10/07/2017, 20h47

Voilà j'ai modifié le Controller :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
class ConnexionController extends BackController
{
    public function executeIndex(HTTPRequest $request)
    {
        $this->page->addVar('title', 'Connexion');
 
        if ($request->postExists('login'))
        {
            $login = $request->postData('login');
            $password = $request->postData('password');
 
 
            if (PDOFactory::getMysqlConnexion('SELECT count(*) FROM users WHERE pseudo = ' . $login . ' AND password = ' . $password) == 1)
            {
                $this->app->user()->setAuthenticated(true);
                $this->app->httpResponse()->redirect('.');
            }
            else
            {
                $this->app->user()->setFlash('Le pseudo ou le mot de passe est incorrect.');
            }
        }
    }

Petite Avancée cela fonctionne

! Le seul souci c'est que cela fonctionne tout le temps... Quand les deux champs sont vides, quand je rentre n'importe quel pseudo et password :s
Problème dans la condition?

**jisig** · 11/07/2017, 00h03

tu dois faire ta requête depuis la connexion à ta db

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if ($db->query('SELECT count(*) FROM users WHERE pseudo = ' . $login . ' AND password = ' . $password) == 1)

**KazuLife** · 11/07/2017, 01h02

Merci encore pour ta réponse Jisig

J'ai essayé cela justement mais j'obtiens une erreur :

Notice: Undefined variable: db in C:\wamp\www\projet3\App\Backend\Modules\Connexion\ConnexionController.php on line 25

Pourtant au début de ma Classe ConnexionController.php, j'ai bien indiqué pour qu'il prenne la variable $db dans ma Classe PDOFactory :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

use \KZFramework\PDOFactory;

( je te remets le code de ma Classe PDOFactory )

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
class PDOFactory
{
    public static function getMysqlConnexion()
    {
        $db = new \PDO('mysql:host=localhost;dbname=blogecrivainbdd', 'root', '');
        $db->setAttribute(\PDO::ATTR_ERRMODE, \PDO::ERRMODE_EXCEPTION);
 
        return $db;
    }
}

**jisig** · 11/07/2017, 02h19

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
use \KZFramework\PDOFactory;
getMysqlConnexion();

**KazuLife** · 11/07/2017, 16h32

Bonjour Jisig,

J'ai fait la modification, mon message d'erreur a changé :

Fatal error: Call to undefined function App\Backend\Modules\Connexion\getMysqlConnexion() in C:\wamp\www\projet3\App\Backend\Modules\Connexion\ConnexionController.php on line 13

J'ai essayé de le placer à différent endroit mais cela ne change rien ( Après mon Use , Dans ma classe Connexion Controller, avant ma condition... )

Merci encore pour ton aide !

**jisig** · 11/07/2017, 17h44

je ne sais pas, vérifie peut-être les espaces de noms :o

**KazuLife** · 11/07/2017, 18h17

J'ai vérifié les espaces de noms ( encore une fois quand tu m'as demandé ^^ )

J'ai modifié un peu le code pour mettre directement la connexion à la base de données à l'intérieur de ma classe pour le test :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 public function executeIndex(HTTPRequest $request)
    {
 
        $this->page->addVar('title', 'Connexion');
 
        if ($request->postExists('pseudo'))
        {
            $pseudo = $request->postData('pseudo');
            $password = $request->postData('password');
            $db = new \PDO('mysql:host=localhost;dbname=blogecrivainbdd', 'root', '');
            $db->setAttribute(\PDO::ATTR_ERRMODE, \PDO::ERRMODE_EXCEPTION);
            if ($db->query('SELECT count(*) FROM users WHERE pseudo = ' . $pseudo. ' AND password = ' . $password) == 1)
            {
                $this->app->user()->setAuthenticated(true);
                $this->app->httpResponse()->redirect('.');
            }
            else
            {
                $this->app->user()->setFlash('Le pseudo ou le mot de passe est incorrect.');
            }
            echo var_dump($db);
        }
    }

( ! ) Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42S22]: Column not found: 1054 Champ 'Admin' inconnu dans where clause' in C:\wamp\www\projet3\App\Backend\Modules\Connexion\ConnexionController.php on line 29

J'ai bien vérifié mon pseudo dans ma base de données est : Admin et mon mot de passe : Admin

**Willy_k** · 12/07/2017, 10h39

Salut,
Faudrait réécrire la requête comme ça

'SELECT count(*) FROM users WHERE pseudo = "' . $pseudo. '" AND password = "' . $password .'"' ou "SELECT count(*) FROM users WHERE pseudo = ' $pseudo' AND password = '$password'"sinon il risque de considérer vos variables (si elles ne contiennent autre chose que des nombres entiers ou décimaux) comme des noms de colonnes.
Pensez à préparer vos requêtes, risque d'injection SQL dans celle-ci

**KazuLife** · 12/07/2017, 11h36

Merci Willy_k pour ta réponse

J'ai modifié la requête SQL comme indiqué, mais j'ai toujours un problème, peu importe la combinaison de "pseudo" "password" j'arrive à me connecter, si ils sont tous les deux vide également d'ailleurs ^^'

Voici le code actuel de mon Controller :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
class ConnexionController extends BackController
{
 
    public function executeIndex(HTTPRequest $request)
    {
 
        $this->page->addVar('title', 'Connexion');
 
        if ($request->postExists('pseudo'))
        {
            $pseudo = $request->postData('pseudo');
            $password = $request->postData('password');
            $db = new \PDO('mysql:host=localhost;dbname=blogecrivainbdd', 'root', '');
 
            if ($request = $db->query('SELECT count(*) FROM users WHERE pseudo = "' . $pseudo. '" AND password = "' . $password .'"') == 1)
            {
                $this->app->user()->setAuthenticated(true);
                $this->app->httpResponse()->redirect('.');
            }
            else
            {
                $this->app->user()->setFlash('Le pseudo ou le mot de passe est incorrect.');
            }
 
        }
    }
 
}

**Willy_k** · 12/07/2017, 11h56

C'est à cause de la condition $request = $db->query('SELECT count(*) FROM users WHERE pseudo = "' . $pseudo. '" AND password = "' . $password .'"') == 1 qui est toujours vraie (quand la requête se passe bien même s'il n y a pas de résultat) et je pense qu'elle aurait dû vous renvoyer une erreur dans ce cas.
Donc on peut la réécrire comme ça.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
pseudo = $request->postData('pseudo');
$password = $request->postData('password');
$db = new \PDO('mysql:host=localhost;dbname=blogecrivainbdd', 'root', '');
$stmt = $db->prepare('SELECT COUNT(*) FROM users WHERE pseudo = :pseudo AND password = :password');
$stmt->bindValue('pseudo', $pseudo);
$stmt->bindValue('password', $password);
$stmt->execute();
 
if ($stmt->fetchColumn()) {
    //bon
} else {
   //pas bon
}

Vous sauvegardez le mot de passe en clair dans la BDD ?

**KazuLife** · 12/07/2017, 12h07

Cela fonctionne pour le moment d'après les test de combinaison que j'ai pris le temps de faire

Oui en effet je dois crypter le mot de passe maintenant !
D'après mes cours le md5 est obsolète donc je vais essayer en sha-256 ... nouvelle galère ^^

Merci Willy pour ton aide ainsi que Jisig ! Vous m'avez fait gagner un temps très précieux

Authentification et Gestion Utilisateur

PHP & Base de données

Discussions similaires

Partager

Partager