redirection ->header pour certains ET redirection-> pour d'autres selon la fonction de chacun

**keywork** · 29/08/2018, 13h45

Alors bonjour,

je suis actuellement en stage de développeur dans une société de transports en communs, donc pardonnez moi mon niveau

.

Alors mon but est de rediriger, par le biais d' une connexion dans un formulaire :

les contrôleurs [->header('Location: rechercheBisTest.php')] = que les contrôleurs auront accès à ce fichier
ET tout le reste vers [->header('Location: recherche.php].

Jusqu' à présent j' ai réussi tant bien que mal à donner l' accès seulement au contrôleur mais je voudrais que n' importe quelle personne, autre que contrôleur puisse être redirigé au fichier [header('Location: recherche.php].

Voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
<?php 
session_start ();
require ("connexion.php");
 
 
if(isset($_POST['login'])){
if($_POST['login'] != "" && $_POST['mdp'] !=""){
	$login = $_POST['login']; 
	$mdp = $_POST['mdp']; 
 
 
	$reponse = $bdd->prepare('SELECT * FROM utilisateurs WHERE login =:login  AND mdp=:mdp AND fonction="controleur";' );	
        $reponse->bindParam(':login', $login);
        $reponse->bindParam(':mdp', $mdp);
 
        $reponse->execute();
 
	$donnees = $reponse->fetchAll();
	if(count($donnees) == 0){
		echo 'le mot de passe ou le login est incorrecte';
	}
	else{
		foreach($donnees as $ligne)
		{
    // traitement sur $ligne
 
			//echo $ligne['nom'] . ' et son prÃ©nom est  ' . $ligne['prenom'] . '<br />';
 
				$_SESSION['nom']= $ligne['nom']; 
				$_SESSION['prenom']= $ligne['prenom'];
				$_SESSION['type']= $ligne['type'];
				$_SESSION['idutilisateur']= $ligne['idutilisateur'];
				$_SESSION['fonction']= $ligne['fonction'];
 
 
				 header('Location: rechercheBisTest.php');
 
 
 
 
 
			//echo "fffffffff ". htmlentities($_SESSION['nom']);
		}
		var_dump($donnees);
	}
 
 
	$reponse->closeCursor();	
 
}else{
	echo "vous devez entrer le login et le mot de passe";
 
 
 
}
}
?>

**keywork** · 29/08/2018, 13h55

En fait, je souhaiterais que toute autre personne de la société de transports en communs n' étant pas contrôleur, par exemple chauffeur, personnel de sécurité...puisse se connecter par le même formulaire de connexion que ceux des contrôleurs, soient redirigés vers une autre page ( recherche.php) et non vers (rechercheBisTest.php= page que seuls les contrôleurs peuvent avoir accès).

**MaitrePylos** · 29/08/2018, 13h58

Suivant cette ligne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
if(count($donnees) == 0){
		echo 'le mot de passe ou le login est incorrecte';
	}

Seul les controlleurs peuvent se connecter.
Si vous n'êtes pas controlleurs, alors la requête ne fonctionne pas il faut donc déjà donner la possibilité à tout le monde de pouvoir se connecter.

**keywork** · 29/08/2018, 14h02

Dois je refaire une requête avec ses parametres ou peux tu m' indiquer la méthode ?

depuis hier je me creuse la tête, j' ai essayé réessayé, cherché sur internet, je ne trouve pas une explication de code pour mon cas

**MaitrePylos** · 29/08/2018, 14h09

Un truc du genre, en comptant sur le fait que login et mdp soit unique

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
 
<?php
session_start();
require("connexion.php");
 
 
if (isset($_POST['login'])) {
    if ($_POST['login'] != "" && $_POST['mdp'] != "") {
        $login = $_POST['login'];
        $mdp = $_POST['mdp'];
 
 
       //je récupère le user
       $reponse = $bdd->prepare('SELECT * FROM utilisateurs WHERE login =:login  AND mdp=:mdp LIMIT 1;');
        $reponse->bindParam(':login', $login);
        $reponse->bindParam(':mdp', $mdp);
 
        $reponse->execute();
 
        $donnees = $reponse->fetch();
        if (count($donnees) == 0) {
            echo 'le mot de passe ou le login est incorrecte';
            die('il faut faire quelque chose ici');
        }
        //je vérifie si il es controleur ou non
        if ($donnees['fonction'] == 'controleur') {
 
            $_SESSION['nom'] = $donnees['nom'];
            $_SESSION['prenom'] = $donnees['prenom'];
            $_SESSION['type'] = $donnees['type'];
            $_SESSION['idutilisateur'] = $donnees['idutilisateur'];
            $_SESSION['fonction'] = $donnees['fonction'];
 
 
            header('Location: rechercheBisTest.php');
 
        } else {
            header('Location: recherche.php');
        }
        var_dump($donnees);
    }
 
 
    $reponse->closeCursor();
 
} else {
    echo "vous devez entrer le login et le mot de passe";
 
 
}

**keywork** · 29/08/2018, 14h16

Merci super ton code, j' étais parti pour redoubler mon code avec des conditions !!!

Juste une question

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $reponse = $bdd->prepare('SELECT * FROM utilisateurs WHERE login =:login  AND mdp=:mdp LIMIT 1;');

J' ai compris ton code dans sa globalité mais le

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

LIMIT 1

je ne connaissais pas

Peux tu me dire à quoi il sert je t' en serais reconnaissant !!

Invité · 29/08/2018, 14h18

Bonjour,

C'est la logique de ton script qu'il faut revoir.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

	$reponse = $bdd->prepare('SELECT * FROM utilisateurs WHERE login =:login  AND mdp=:mdp AND fonction="controleur";' );

1- "...AND fonction="controleur" : tu ne cherches QUE les controleurs...

2- "...AND mdp=:mdp..." : là, c'est plus grave : ça suppose que les mots de passe sont enregistrés EN CLAIR dans la BDD.

Il NE faut JAMAIS enregistrer EN CLAIR !!!

3- EVITE de mettre " SELECT * " : il vaut mieux indiquer uniquement les colonnes nécessaires.

4- Il faut écrire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

	$reponse = $bdd->prepare('SELECT idutilisateur, nom, prenom, mdp, type, fonction FROM utilisateurs WHERE login =:login";' );

Ensuite, on vérifie, pour CE login, que le mot de passe enregistré est le même que celui tapé.

Avec le mot de passe EN CLAIR (CE QU'IL NE FAUT PAS FAIRE, je le répète) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if( $ligne['mdp'] == $mdp)
{
  // OK, on continue...
}

5- Enfin, on met une condition, pour rediriger vers le bon fichier :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
if( $ligne['fonction'] == 'controleur' )
{
   header('Location:...............');
} else {
   header('Location:...............');
}

BONNE METHODE pour le Mot de passe :

on peut utiliser password_hash() pour hasher le mot de passe, AVANT de l'enregistrer en BDD
La vérification se fait alors avec password_verify() :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if( password_verify( $mdp, $ligne['mdp']) ) 
{
  // OK, on continue...
}

**MaitrePylos** · 29/08/2018, 14h19

Je suis parti du principe que la db est MySQL/MariaDB et LIMIT 1 , veux dire ne retourne qu'une seule ligne, du coup pasbesoin du fetchall mais juste du fetch. marche aussi avec Limit 6 cela ne retourne alors que les 6 premières lignes

Invité · 29/08/2018, 14h21

Envoyé par keywork

...mais le LIMIT 1 je ne connaissais pas

Peux tu me dire à quoi il sert je t' en serais reconnaissant !!

Euhh... tu ne sais pas FAIRE UNE RECHERCHE ??

"SQL LIMIT"

**keywork** · 29/08/2018, 14h23

AH WWWEEEE, en 5 minutes j' ai + appris qu' en formation.

Je met la page en favoris.

Vous pouvez pas savoir....mais vous avez fait ma journée.

1000 merci !!!!

**MaitrePylos** · 29/08/2018, 14h26

N'oublie pas les recommandations de @jreaux62, car ton code n'est absolument pas sécure.
Et puis mets "résolu".

Invité · 29/08/2018, 14h30

@MaitrePylos +1

Et MONTRE-NOUS ton code CORRIGE !

On te dira si c'est OK.

**keywork** · 30/08/2018, 09h36

Pardon pour le retard j' étais en réunion.

Alors j' ai proposé à mon supérieur d' y mettre un peu plus de sécurité concernant la connexion et la BDD, mais il m' a rétorqué que ce n' était pas nécesssaire, donc voilà mon code ( à ne pas recopier car il dispose d' aucune sécurité =

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
<?php
	session_start();
	require("connexion.php");
 
 
	if (isset($_POST['login'])) {
    	if ($_POST['login'] != "" && $_POST['mdp'] != "") {
        $login = $_POST['login'];
        $mdp = $_POST['mdp'];
 
 
       //je récupère l' utilisateur pour enfin me retourner qu' une seule ligne
 
        $reponse = $bdd->prepare('SELECT * FROM utilisateurs WHERE login =:login  AND mdp=:mdp LIMIT 1;');
        $reponse->bindParam(':login', $login);
        $reponse->bindParam(':mdp', $mdp);
 
        $reponse->execute();
 
        $donnees = $reponse->fetch();
        if (count($donnees) == 0) {
            echo 'le mot de passe ou le login est incorrecte';
            die('il faut faire quelque chose ici');
        }
 
 
	 //je vérifie s'il est contrôleur ou non
 
	if ($donnees['fonction'] == 'controleur') {
 
            $_SESSION['nom'] = $donnees['nom'];
            $_SESSION['prenom'] = $donnees['prenom'];
            $_SESSION['type'] = $donnees['type'];
            $_SESSION['idutilisateur'] = $donnees['idutilisateur'];
            $_SESSION['fonction'] = $donnees['fonction'];
 
 	//s'il est contrôleur, donc redirection vers rechercheBisTest sinon, vers recherche
 
 
            header('Location: rechercheBisTest.php');
 
        } else {
            header('Location: recherche.php');
        }
        var_dump($donnees);
    }
 
 
    $reponse->closeCursor();
 
} else {
    echo "Veuillez entrer votre login et votre mot de passe.";
 
 
}?>

**keywork** · 30/08/2018, 12h13

Salut,

je voudrais rajouter la fonction "inspecteur en + de la fonction "controleur", ça marche mais c'est affreux lol.

Avez vous une autre idée par tout hasard??

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if (($donnees['fonction'] == 'controleur') or ($donnees['fonction'] == 'inspecteur'))

Invité · 30/08/2018, 12h37

Où est le problème ?

à part qu'il vaut mieux écrire || plutôt que or (qui fonctionne différemment).

Une autre possibilité :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if ( in_array($donnees['fonction'], array('controleur','inspecteur') ) )

Si tu as plus de fonctions, à rediriger vers des pages différentes, on peut utiliser switch case.

**keywork** · 30/08/2018, 13h04

Bien Vu jreaux62

, j' ai également lu une doc sur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

switchcase

qui est pas mal non plus.

En tout cas merci à toi et MaitrePylos pour votre aide

Invité · 30/08/2018, 13h16

Le mieux est de toujours se référer au manuel PHP : switch case

**keywork** · 30/08/2018, 13h25

Mon formateur m' avait fortement déconseillé d' utiliser

break

pour sortir d'une boucle par exemple , qu' est ce que t' en penses ?

Est il toujours bon de l' utiliser ou y a t il une autre alternative ?

**MaitrePylos** · 30/08/2018, 13h54

Envoyé par keywork

Mon formateur m' avait fortement déconseillé d' utiliser pour sortir d'une boucle par exemple , qu' est ce que t' en penses ?

Est il toujours bon de l' utiliser ou y a t il une autre alternative ?

C'est une autre question, ouvre un autre post, afin que tout le monde puisse en bénéficier.