Discussion :

[BiRoy]

Bonjour j'aimerais avoir des infos sur comment utiliser une réponse SQL du type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
/*Je fais ma requête SQL */
 
var query = " SELECT * FROM table1 WHERE A=B "; // (Exemple)
if ( {La requète renvoie quelque chose} )
.....
else
.....

Je ne sais pas si c'est clair ,
merci d'avance

[tatayo]

Bonjour,
Le problème ici est que tu ne nous dis pas comment tu lances la requête en question.
Est-ce que tu utilises Entity Framework, System.Data.Odbc, autre chose ?

Tatayo.

[BiRoy]

Bonjour alors , le programme est sur Visual Studio en C# et je lance une requête sur ma BDD sur PhpMyAdmin

J'ai potentiellement trouvé une solution avec ExecuteScalar (qui indique le nombre de ligne retournée par la requête SQL ) cependant il me retourne l'erreur suivante :

System.NullReferenceException*: 'La référence d'objet n'est pas définie à une instance d'un objet.'

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
private void Button_Home_Connection_Click(object sender, EventArgs e)
        {
            MySqlConnection connection = new MySqlConnection("SERVER=localhost; DATABASE=travellocked; UID=root; PASSWORD=");       // Connection avec la base de données PHP MYAdmin
            bool connection_statut = false;
            int result = 0;
 
            var query = " SELECT * FROM tb_agent WHERE Identifiant= " + "'" + TextBox_Home_ID.Text + "'" + " AND Motdepasse=" + "'" + TextBox_Home_MDP.Text + " ' ";
 
            MySqlCommand cmd = new MySqlCommand(query, connection);
            result = (int)cmd.ExecuteScalar();
 
 
            if (result > 0 )
            {
                try    //Le programme essaye de se connecté pour retourner une valeur booléenne à l'état de connection.
                {
                    connection.Open();
                    connection_statut = true;
                    MessageBox.Show("CONNEXION REUSSIE");
                }
                catch (MySqlException co)    //Le cas d'un échec de connection
                {
                    connection.Close();
                    MessageBox.Show(co.ToString());
                    MessageBox.Show("Connexion échouée");
                    connection_statut = false;
                }
            }
            else
            {
                MessageBox.Show("L'indentifiant ou le mot de passe est incorrect ?");
            }
        }

[BiRoy]

J'ai finalement trouvé seul.

Merci pour tout voici le code réussi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
 
bool connection_statut = false;
 
            MySqlConnection connection = new MySqlConnection("SERVER=localhost; DATABASE=travellocked; UID=root; PASSWORD=");       // Connection avec la base de données PHP MYAdmin
            var query = " SELECT * FROM tb_agent WHERE Identifiant= " + "'" + TextBox_Home_ID.Text + "'" + " AND Motdepasse=" + "'" + TextBox_Home_MDP.Text + " ' ";
            MySqlCommand cmd = new MySqlCommand(query, connection);
            connection.Open();
            Object obj = cmd.ExecuteScalar();
            connection.Close();
 
 
            if (obj != null )
            {
                try    //Le programme essaye de se connecté pour retourner une valeur booléenne à l'état de connection.
                {
                    connection.Open();
                    connection_statut = true;
                    MessageBox.Show("CONNEXION REUSSIE");
                }
                catch (MySqlException co)    //Le cas d'un échec de connection
                {
                    connection.Close();
                    MessageBox.Show(co.ToString());
                    MessageBox.Show("Connexion échouée");
                    connection_statut = false;
 
                }
            }
            else
            {
                MessageBox.Show("L'indentifiant ou le mot de passe est incorrect ?");
 
            }

[Noxen]

Quel est l'intérêt de fermer la connexion (ligne 9) pour la ré-ouvrir juste après (ligne 16). Par ailleurs je vois dans la même page de code une requête SQL codée en dur et un message d'erreur fonctionnel (erreur d'authentification), ce qui me laisse à penser que ton code mélange plein de choses qui dans l'idéal devraient être séparées.

[François DORIN]

J'ai potentiellement trouvé une solution avec ExecuteScalar (qui indique le nombre de ligne retournée par la requête SQL )

ExecuteScalar ne renvoie pas le nombre de lignes, mais la première colonne de la première ligne du résultat.

Pour récupérer les informations, ExecuteReader est ce qu'il te faut

Je t'invite également a regarder du côté des requêtes paramétrées, pour éviter de construire des requêtes SQL comme tu le fais. C'est une pratique généralement mauvaise quand des entrées proviennent d'une source non fiable comme un utilisateur, car cela ouvre la voie à des attaques de types "injection SQL".

[joKED]

Bonjour,

Je "plussune" les intervenants précédents sur les problèmes évoqués (code non structuré, risque d'injection sql), et j'ajoute aussi, en voyant ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Motdepasse=" + "'" + TextBox_Home_MDP.Text + " '

qu'on peut légitimement penser que les mots de passe sont stockés en clair dans la base de données, ce qui est une très mauvaise pratique.

[Pol63]

le verbe officiel est plussoyer (je plussoie ...)

[joKED]

Merci de la précision. Et ça fait plus de points au Scrabble.

[BiRoy]

Bonjour,

Je "plussune" les intervenants précédents sur les problèmes évoqués (code non structuré, risque d'injection sql), et j'ajoute aussi, en voyant ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Motdepasse=" + "'" + TextBox_Home_MDP.Text + " '

qu'on peut légitimement penser que les mots de passe sont stockés en clair dans la base de données, ce qui est une très mauvaise pratique.

L'utilisation de procédures stockées peut-elle pallier aux injections ?

Quel est l'intérêt de fermer la connexion (ligne 9) pour la ré-ouvrir juste après (ligne 16). Par ailleurs je vois dans la même page de code une requête SQL codée en dur et un message d'erreur fonctionnel (erreur d'authentification), ce qui me laisse à penser que ton code mélange plein de choses qui dans l'idéal devraient être séparées.

Si je ne l'ouvre et ferme pas autour du "Execute" j'ai obligatoirement une erreur..

[popo]

Ce que Noxen veux dire c'est que tu fait un Close à la ligne 9 puis tu refais un Open à la ligne 16.
Et, en effet, si tu enlève le Close de la ligne 9, tu n'a plus besoin du Open à la ligne 16.

ça permettra également de supprimer une autre d'incohérence : le try-catch initié en ligne 14 ?
Si ton Open passe en ligne 7, il n'y a aucun raison qu'il plante en ligne 16.

A quoi sert le booléen connection_statut ?
Il est local et n'est donc pas utilisé ailleurs.

Edit :
Voici une version plus sécurisée car elle utilise une requête paramétrée et qui ne mélange pas traitement et IHM :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
private Boolean CheckStatus(String identifier, String password)
{
    using (MySqlConnection connection = new MySqlConnection(connectionString))
    {
        using (MySqlCommand command = new MySqlCommand())
        {
            command.Connection = connection;
            command.Parameters.Add("@Identifier", SqlDbType.VarChar).Value = identifier;
            command.Parameters.Add("@Password", SqlDbType.VarChar).Value = password;
            command.CommandText = "SELECT * FROM tb_agent WHERE Identifiant=@Identifier AND Motdepasse=@Password";
 
            try
            {
                connection.Open();
                return (command.ExecuteScalar() != null);
            }
            catch (Exception ex)
            {
                if (ex is InvalidOperationException || ex is SqlException)
                {
                    return false;
                }
 
                throw;
            }
        }
    }
}

Et tu l'appelle de cette manière :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
const String connectionString = "SERVER=localhost; DATABASE=travellocked; UID=root; PASSWORD=";
 
private void Button_Home_Connection_Click(object sender, EventArgs e)
{
    if (CheckStatus(TextBox_Home_ID.Text, TextBox_Home_ID.Text))
    {
        MessageBox.Show("CONNEXION REUSSIE");
    }
    else
    {
        MessageBox.Show("Connexion échouée");
    }
}

[BiRoy]

Ha oui d'accord ok c'est vrai que ducoup j'ouvre et ferme sans cesse ...

Merci pour le coup de main et le code !!

Quand tu parle de sécurité c'est en rapport au injection SQL au aucun rapport ? (Curiosité)

[popo]

C'est en effet pour éviter les injections SQL.

Par contre, question sécurité, le stockage des mots de passe en clairs dans la base, c'est la faille par excellence.
On peut l'amoindrir avec peu de code, simplement en stockant un mot de passe Hashé...

Le principe, l'utilisateur s'inscrit et n'a pas donc pas encore de mot de passe, tu lui en demande un et tu prévois une autre zone pour la confirmation, pour vérifier les fautes de frappes.
Une fois que tu as vérifié que les deux mots de passes sont identiques, tu le Hash avec n'importe quelle méthode moderne genre Sha512 et c'est ce mot de passe hashé que tu stockes en base.
Tu peux également hasher le login pour encore plus de sécurité.

Lorsque l'utilisateur se reconnecte, il saisit son login et son mot de passe.
Tu fait le hash de la même façon et tu compare avec le contenu en base.

L'avantage du Hash est que c'est facile à faire et que tu n'a aucun moyen de retrouver la valeur d'origine.

[BiRoy]

Ok super merci pour toutes les précisions je vais faire ça de suite merci beaucoup

[Noxen]

De préférence un hash avec un sel, ça permet entre autre d'éviter que deux utilisateurs qui ont le même mot de passes le stockent de la même façon.

[popo]

De préférence un hash avec un sel, ça permet entre autre d'éviter que deux utilisateurs qui ont le même mot de passes le stockent de la même façon.

Je ne connaissais pas et du coup, je suis allé faire une petite recherche.
J'ai trouvé ce site explicatif :
http://mieuxcoder.com/2007/12/23/met...mots-de-passe/

Effectivement, c'est un plus non négligeable.