Discussion :

[philo71]

bonjour,
je travail sur le stockage et la lecture des mots de passe après le "hachage".
Je dispose d'un formulaire d'inscription en deux pages PHP car j'utilise la méthode POST.
jusqu'ici je n'est pas de problèmes, j'enregistre bien dans ma base MySql les Pseudo ainsi que le mot de passe hacher.
Mais lorsque je fais appel au formulaire d'authentification >> la confrontation des mots de passe ne marche pas !
pour le login j'utilise le pseudo et le mot de passe d'un utilisateur enregistré.

Pour l'authentification j'utilise deux formulaires dont voici le code :
1/ connection.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
<?php
session_start();
?>
<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8" />
        <title>login Espace MEMBRE</title>
    </head>
   <style>
 
    form
    {
        text-align:center;
    }
    </style>
    <body>
 
    <form action="connection_post.php" method="post">
 
        <label for="pseudo">Pseudo</label> :  <input type="text" name="pseudo" placeholder= "pseudo" value="<?php htmlspecialchars($pseudo); ?>"  /><br />
        <label for="pass">Mot de passe</label> :  <input type="password" name="pass" placeholder= "pass" value="<?php htmlspecialchars($pass); ?>" /><br />
 
        <input type="submit" value="Envoyer" />
	</p>
    </form>
 
 
    </body>
</html>

2/ connection_post.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
<?php 
 
// Connexion à la base de données
try
{
	$bdd = new PDO('mysql:host=localhost;dbname=espace_membre;charset=utf8', 'root', 'dacas');
	$bdd->setAttribute ( PDO::ATTR_EMULATE_PREPARES , false );
}
catch(Exception $e)
{
        die('Erreur : '.$e->getMessage());
}
 
 
// Hachage du mot de passe
$pseudo = $_POST['pseudo'];
$pass_hache = password_hash($_POST['pass'], PASSWORD_DEFAULT);
 
 
// Vérification des identifiants
$req = $bdd->prepare('SELECT id FROM membres WHERE pseudo = :pseudo AND pass = :pass');
$req->execute(array(
    'pseudo' => $pseudo,
    'pass' => $pass_hache));
 
$resultat = $req->fetch();
 
if (!$resultat)
{
    echo 'Mauvais identifiant ou mot de passe !';
}
else
{
    session_start();
    $_SESSION['id'] = $resultat['id'];
    $_SESSION['pseudo'] = $pseudo;
    echo 'Vous êtes connecté !';
}

Mon second problème que je trouve dans le log apache sous linux Debian

Undefined variable: pass in /var/www/html/cours/espace_menbre/connection.php on line 22, referer: http://127.0.0.1/cours/espace_menbre/

je comprends pas car l'execption levé dans le log et que ma varible pass n'est pas connu alors qu'elle corresponds a un champs de ma table.

Salutations
philippe

[rawsrc]

Salut,

quand tu appelles le script connection.php, ce dernier ne fait que lancer la session et affiche le HTML dessous. A quel endroit dans le code source de connection.php définies-tu tes variables ?

[Celira]

Trois points, en plus de la remarque de mon collègue

1. utiliser htmlspecialchars c'est bien, mais si ton utilisateur utilise un caractère spécial dans son mot de passe, ça risque de ne plus coller
2. de toute façon, on ne pré-remplit pas un champ de mot de passe ! pour pré-remplir un mot de passe, il faut l'avoir stocké en clair et ce serait une très mauvaise idée. (ce que tu ne fais pas, puisque tu utilises password_hash )
3. pour tester un mot de passe stocké avec password_hash, il faut utiliser password_​verify

Donc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
$pseudo = $_POST['pseudo'];
 
// Vérification des identifiants : on cherche un utilisateur correspondant au pseudo
$req = $bdd->prepare('SELECT id, pass FROM membres WHERE pseudo = :pseudo');
$req->execute(array(
    'pseudo' => $pseudo));
 
$resultat = $req->fetch();
 
if (!$resultat)
{
    echo 'Mauvais identifiant ou mot de passe !';
}
else
{
    // on vérifie le mot de passe
    if (password_verify($resultat['pass'], $_POST['pass']) {
        // ok
        session_start();
        $_SESSION['id'] = $resultat['id'];
        $_SESSION['pseudo'] = $pseudo;
        echo 'Vous êtes connecté !';
    } else {
        echo 'Mauvais identifiant ou mot de passe !';
    }
}

Remarques en passant :
Un placeholder qui dit "pass" dans un champ qui porte un label "password", c'est un peu comme coller une étiquette "porte" sur une porte. C'est exact, mais ça ne sert pas à grand-chose
Si tu veux que tes labels soient associés à leur champ, il faut que le champ porte un attribute id qui correspond au for (rappel : un attribut id soit être unique dans l'ensemble de la page, et n'est pas forcément égal l'attribut name)
Donc :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<label for="pass">Mot de passe</label> :  <input type="password" id="pass" name="pass" />

[Invité]

Bonjour,

j'ajoute : on ne pré-remplit NI le mot de passe, NI le login !!

[philo71]

bonjour,
j'ai suivie vos recommandations, ont ne pré-enplit pas le login et mot de passe, deplus j'ai changé mon code de destination par le code conseillé!
le problème et que login et mot de passe son vides.
voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
<?php
session_start();
?>
<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8" />
        <title>login Espace MEMBRE</title>
    </head>
   <style>
 
    form
    {
        text-align:center;
    }
    </style>
    <body>
 
    <form action="connection_post.php" method="post">
 
        <label for="pseudo">Pseudo</label> :  <input type="text" name="pseudo" value="<?php echo $pseudo; ?>"  /><br />
        <label for="pass">Mot de passe</label> :  <input type="password" name="pass" value="<?php echo $pass; ?>" /><br />
 
        <input type="submit" value="Envoyer" />
	</p>
    </form>
 
 
    </body>
</html>

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
<?php 
 
// Connexion à la base de données
try
{
	$bdd = new PDO('mysql:host=localhost;dbname=espace_membre;charset=utf8', 'root', 'dac');
	$bdd->setAttribute ( PDO::ATTR_EMULATE_PREPARES , false );
}
catch(Exception $e)
{
        die('Erreur : '.$e->getMessage());
}
 
 
// Hachage du mot de passe
$pass_hache = password_hash($_POST['pass'], PASSWORD_DEFAULT);
 
$pseudo = $_POST['pseudo'];
 
// Vérification des identifiants : on cherche un utilisateur correspondant au pseudo
$req = $bdd->prepare('SELECT id, pass FROM membres WHERE pseudo = :pseudo');
$req->execute(array(
    'pseudo' => $pseudo));
 
$resultat = $req->fetch();
 
    if (!$resultat)
    {
	echo 'Mauvais identifiant ou mot de passe 1 !';
    }
    else
    {
	// on vérifie le mot de passe
	if ((password_verify($resultat['pass']))== ($_POST['pass']))
	{
	    session_start();
	    $_SESSION['id'] = $resultat['id'];
	    $_SESSION['pseudo'] = $pseudo;
	    echo 'Vous êtes connecté !';
	} else {
	    echo 'Mauvais identifiant ou mot de passe 2 !'; // mon test s'arrète ici !
	    echo 'sysop $resultat: '.$resultat. ' !<br />'.'<br />';
	    echo 'sysop pass : '.(password_verify($resultat['pass'])). ' !<br />'.'<br />';
	}
    }

:mes test avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 echo sysop

me dit que mes variable sont vides !

Mauvais identifiant ou mot de passe 2 !sysop $resultat: Array !

sysop pass : !

je comprends pas !


Salutations respectueuses
Philippe

[sabotage]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if ((password_verify($resultat['pass']))== ($_POST['pass']))

cette ligne ne vient pas du code qui a été écrit pour toi