Discussion :

[Tamzoro]

Bonsoir,

Je voudrais créer un système de Login pour mon site web, lorsque je tape mon pseudo && mon password je me connecte bien. Cependant lorsque je tape un mauvais password ; un message d'erreur est sensé s'afficher.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
if(isset($_POST['login_user'])){
	$username = $_POST['username'];
	$password = $_POST['password'];
 
	if(empty($username)) {array_push($errors, "Votre pseudo est requis."); } 
	if(empty($password)) {array_push($errors, "Votre password est requis."); } 
 
	if (count($errors) == 0) {
			$password = md5($password);
			$sql_login = $db->query("SELECT * FROM users WHERE username='$username' AND password='$password'");
 
			while($result = $sql_login->fetch())
			{
				if($result == true){
					$_SESSION['username'] = $username;
					$_SESSION['success'] = "Tu es connecté(e)";
					header('location: welcome.php');
				}else {
					array_push($errors, "Mauvaise combinaison du pseudo/password.");
					}
			}
 
		}
	}
 
 
?>

Je pense que mon soucis est par rapport à ma boucle WHILE ?

Merci pour votre aide.

[sabotage]

Déjà ton code n'est pas sécurisé du tout.
Il faut utiliser une requête préparée et des paramètres.

Ensuite la boucle while ne sert à rien puisque tu n'as qu'un seul résultat à lire.

[Tamzoro]

Re bonsoir,

Merci pour ton aide Sabotage, j'ai fait quelques modifs et mon code fonctionne cependant j'aimerais savoir ce qu'il faudrait rajouter pour le sécuriser d'avantages ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
if(isset($_POST['login_user'])){
	$username =  htmlspecialchars($_POST['username']);
	$password = $_POST['password'];
 
	if(empty($username)) {array_push($errors, "Votre pseudo est requis."); } 
	if(empty($password)) {array_push($errors, "Votre password est requis."); } 
 
	if (count($errors) == 0) {
			$password = md5($password);
			$requser = $db->prepare("SELECT * FROM users WHERE username='$username' AND password='$password'");
			$requser->execute(array($username,$password));
			$userexist = $requser->rowCount();
			if($userexist == 1) {
				$userinfo = $requser->fetch();
				$_SESSION['username'] = $username;
				//$_SESSION['success'] = "You are now logged in";
				header('location: welcome.php');
			}else {
				array_push($errors, "Mauvaise combinaison du pseudo/password.");
			}
 
		}
	}
 
 
?>

[Dendrite]

Utilise des marqueurs pour éviter les injections SQL.
Par ailleurs, on n'utilise pas md5 pour les mots de passe, c'est trop léger.

http://php.net/manual/fr/pdo.prepare.php
http://php.net/manual/fr/function.password-verify.php
http://php.net/manual/fr/function.password-hash.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$password = password_verify($password);
$requser = $db->prepare("SELECT * FROM users WHERE username=? AND password=?");
$requser->execute(array($username,$password));

[Tamzoro]

Bonjour Dendrite,

Merci pour ton message, je ne vais plus utiliser le md5.