Discussion :

[Philcmoi]

Bonjour à tous.
je n'arrive pas à savoir pourquoi la requête fonctionne pour un query simple et non pour un query complex.
voici le code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
 
 $login = isset($_POST['login']) ? $_POST['login'] : '';
    $password = isset($_POST['password']) ? $_POST['password'] : '';
 
    $var = (int)$login;
// on se connecte à MySQL et on sélectionne la base
    $conn = mysqli_connect('localhost', 'root', '', 'optique');
 
    // On créé la requête
    //$req="SELECT login, password FROM jeux_video WHERE login =.'.$var.'. AND password LIKE .'.$password.'";  *** cela ne marche pas  ***
    *** message qui s'affiche Warning: mysqli_fetch_array() expects parameter 1 to be mysqli_result, boolean given    ***
 
    $req = "SELECT login, password FROM jeux_video";    *** cela marche  ***
 
    // on envoie la requête
    $res = $conn->query($req);
 
    // on va scanner tous les tuples un par un
    echo "<table>";
    while ($data = mysqli_fetch_array($res)) {
        // on affiche les résultats
        echo "<tr><td>".$data['login']."</td><td>".$data['password']."</td></tr>";
    }
    echo "</table>";
 
    // on ferme la connexion
    mysqli_close($conn);

Comment faire fonctionner la requête qui ne marche pas ?

Merci à tous.

[rawsrc]

Salut,

tu devrais remplacer

// On créé la requête

par

// On créé une faille de sécurité

Non mais où t'as vu qu'on pouvait se rapprocher du mot de passe pour se connecter ?
Essaie encore, ah ben non pas besoin.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$req="SELECT login, password FROM jeux_video WHERE login =.'.$var.'. AND password LIKE .'.$password.'";

un LIKE dans un test de mot de passe !!
Heureusement que la requête ne fonctionne pas !! OUF

[Philcmoi]

Merci pour la réponse dégueulasse alors que je reprenais le php après des années..Redescends de ton trône dieu. En plus ta requête ne fonctionne même pas.

[rawsrc]

enfin !!! merci pour la comparaison flatteuse mais sur ce coup je préfère passer mon tour.

[ibram_im]

je rencontré ce genre d'erreur. Et j'ai constaté que lorsqu'on utilise une boucle WHILE pour afficher un résultat il faut se rassurer que la requête va renvoyer au moins un résultat. Donc assure toi que les valeurs de $var et $password que tu récupère appartiennent à une ligne de ta table jeux_video. A ta place je vais faire des echo pour afficher les valeurs de $var et $password pour se rassurer.

[Toufik83]

Salut,

Je me permets d'intervenir, @rawsrc voulait te dire que la requête n'est plus sécurisée parce que tu ouvres une faille de sécurité en comparant le mot de passe avec un like.

Puis cette ligne est fausse :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$var = (int)$login;

parce que tu convertis la valeur de la variable $login en entier, ce qui n'est pas juste !

La requête doit être comme ça :

• (style procédural) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$req="SELECT login, password FROM jeux_video WHERE login =".mysqli_real_escape_string($conn,$var)." AND password = ".$password;
mysqli_query($conn,$req);
...

• (style orienté objet) en préparant la requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
  $req="SELECT login, password FROM jeux_video WHERE login =? AND password = ?";
  $res=$conn->prepare($req);
  $res->bind_param("ss",$var,$password);
  $res->execute();
  $data=$res->get_result();
  while($dt=$data->fetch_assoc()){//affichage des données.
	echo "login :".$dt["login"].", password :".$dt["password"];
  }
  ...

Comme il est important aussi de crypter le mot de passe avec un password_hash puis le vérifier avec password_verify.

[Invité]

...la requête doit être comme ça :...

Euhh, là, Toufik83, tu aurais dû t'abstenir...

[Toufik83]

Euhh, là, Toufik83, tu aurais dû t'abstenir...

quel est le problème avec la requête jreaux62 ? l'absence de mysqli_real_escape_string ?

[Invité]

Oui, entre autre... (petit coquin ! Tu as supprimé htmlspecialchars de ton précédent message !)
AU MINIMUM utiliser mysqli_real_escape_string(), OU MIEUX : une requête préparée.

• "Espace Membre" : Mode d'emploi

Mot de passe, en PHP :

• password_hash()
• password_verify()

1- INSCRIPTION - Lorsqu'on CRÉE un nouvel utilisateur :

• on utilise password_hash() avant de l'enregistrer en BDD.
  On obtient un mot de passe hashé, car on N'enregistre JAMAIS le mot de passe "en clair" !!

2- CONNEXION - Quand l'utilisateur se connecte :

• il entre son login et mot de passe (en clair)
• on requête en BDD pour trouver le login ("SELECT mdp WHERE login = ...")
• on compare le mot de passe (en clair) avec celui en BDD (hashé) grâce à password_verify()