Discussion :

[OUZFA]

Bonjour à tous,
j'ai créé une page PHP pour inscription visiteur et une page pour identification qui renvoie vers une page de vérification de mot de passe et du pseudo qui compare les identifiants aux ceux stockés dans la base de données MySql .
Le code de cette dernière est le suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
$objetpdo =new PDO('mysql:host=dbXXXXXXXXX.hosting-data.XX;dbname=dbXXXXXXX','XXXXXXXX','XXXXXXXXXXX');
$pdostat=$objetpdo->prepare('SELECT * FROM inscription');
 
$executeEstBon=$pdostat->execute();
$requete=$pdostat->fetchall();
 
 
foreach($requete as $donnee):
  if ($_POST['pass'] ==$donnee['motpasse'] && $_POST['pseudo']==$donnee['pseudo']){
				header("location:passBon.php");
				}
				else{
		header("location:passFaux.php");
				}
		               endforeach;	
 
 
           ?>

ce code fonctionne bien sauf qu'il ne prend en compte que la dernière colonne dans la base des données (cad: le dernier inscrit). Si je supprime cette dernière colonne, il prend en compte celle d'avant qui devient la dernière sur la liste.
Quelqu'un pourrait m'aider svp.

[Invité]

Bonjour,

Ce n'est pas du tout comme ça qu'on procède.
Il existe 10 000 questions déjà posées et autant de réponses.
"script PHP PDO connexion membre"

Parmi les principes es de base : on n'enregistre JAMAIS un mot de passe EN CLAIR !
Ni en bdd, ni en session, ni rien.

[OUZFA]

Merci pour la réponse Jreaux62.

[OUZFA]

Bonjour à tous,
j'ai un souci avec la récupération du mot de passe haché dans une base de donnée de membres.
Chaque fois que m'identifie, je reçois un message me disant: "Pseudo ou mot de passe incorrect". Dans la base de données j'ai bien le mot de passe "$hash".

$2y$10$sYbqY.fVbU2Hz

Voici le code des 3 pages:

page1:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 
<!DOCTYPE html>
<html>
	<head>
	<title>base de données membres</title>
	</head>
	<body>
	<h2>Enregistrement</h2>
	<form action="connexion.php" method="POST">
		<label>Identifiant :</label>
		<input type="text" name="username" required /><br /><br />
		<label>Mot de passe :</label>
		<input type="password" name="password1" required /><br /><br />
		<label>Retapez mot de passe :</label>
		<input type="password" name="password2" required /><br /><br />
		<input type="submit" />
	</form>
	<br /><hr />
	<h2>Connexion</h2>
	<form action="identification.php" method="POST">
		<label>Identifiant :</label>
		<input type="text" name="username" required /><br /><br />
		<label>Mot de passe :</label>
		<input type="password" name="password1" required /><br /><br />
		<input type="submit" name="valider" />
	</form>
	</body>
</html>

page2 qui insère les données dans la base

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
error_reporting(E_ALL);
ini_set("display_errors", 1);
 
 $objetpdo =new PDO('mysql:host=dbxxxxxxxxxx.hosting-data.io;dbname=dbsxxxxxxx','dbuxxxx','xxxxxxxx');
if(isset($_POST["username"]) && isset($_POST["password1"]) && isset($_POST["password2"])){
if($_POST["password1"] == $_POST["password2"]){
$hash = password_hash($_POST["password1"],PASSWORD_DEFAULT);
$pdostat =  $objetpdo->prepare('INSERT INTO basemotpasse (username, password1) VALUES(:username, :password1);');
$pdostat->bindvalue(':username',$_POST['username'],PDO::PARAM_STR);
$pdostat->bindvalue(':password1',$hash,PDO::PARAM_STR);
$pdostat->execute();
		header('Location: connexion.php');
		exit();
	}
}
?>

page3 qui traite la requête:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
 
<?php
$objetpdo =new PDO('mysql:host=dbxxxxxxxxx.hosting-data.io;dbname=dbsxxxxxx','dbuxxxxxx','xxxxxxxxx');
if(isset($_POST['username']) && isset($_POST['password1'])){
$pdostat = $objetpdo->prepare('SELECT password1 FROM basemotpasse WHERE username = :username');
$pdostat->bindvalue(':username',$_POST['username'],PDO::PARAM_STR);
$pdostat->bindvalue(':password1',$hash,PDO::PARAM_STR);	
$pdostat->execute();	
$result = $pdostat->fetch();
$correctPassword = password_verify($_POST['password1'],$hash);
	echo password_verify($_POST['password1'],$hash);
 
	if($correctPassword){
echo "Bienvenue sur le site ".$_POST['username'];
	}
else{
echo "Identifiant et/ou mot de passe incorrect";
	}
}
?>

pourriez-vous me dire pourquoi le mot de passe haché ne correspond pas au mot de passe d'identification, svp ?
Merci par avance.

[Invité]

Bonjour,

1- page3 (identification.php ?) : cette ligne est en trop :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$pdostat->bindvalue(':password1',$hash,PDO::PARAM_STR);

2- quant à la question :
C'est tout l'intérêt de password_hash.
Et aussi pourquoi on doit utiliser password_verify.

[OUZFA]

Merci beaucoup pour ta gentillesse et ton attention Jreaux62,
J'ai cru comprendre que l'on hachait un mot de passe pour le protéger en cas d'intrusion malintentionnée dans la base de données, tout en laissant la possibilité aux membres de s'identifier lors de la connexion. Maintenant je saisi l'esprit de cette démarche. Mais alors comment un visiteur peut-il se connecter avec un mot de passe qu'il a créé si ce même mot de passe est refusé ??!
Merci encore

[Christophe]

Le hashage est transformation mathématique appliquée au mot de passe original. C'est le résultat de ce hashage qui est stocké dans la base.

Quand l'utilisateur fourni son mot de passe dans le formulaire de connexion, il faut appliquer la fonction de hashage à celui-ci, puis tester le résultat avec ce qui est stocké dans la base.

[Invité]

Bonjour,

ton code comportait d'autres erreurs...
ET on peut TOUT écrire dans UN SEUL FICHIER :

inscription_connexion_membre.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
<?php if( session_id()=='' ){ session_start(); } // démarrage SESSION
 
error_reporting(E_ALL);	// SEULEMENT pendant les TESTS !
ini_set("display_errors", 1);	// SEULEMENT pendant les TESTS !
 
// connexion a la bdd
$objetpdo = new PDO('mysql:host=dbxxxxxxxxx.hosting-data.io;dbname=dbsxxxxxx','dbuxxxxxx','xxxxxxxxx');
 
unset($_SESSION['islogged']);
unset($_SESSION['username']);
 
// --------------
// 1- INSCRIPTION
$err_inscription = array();
if(isset($_POST['inscriptionmembre']) )
{
	if( !empty($_POST["username"]) && !empty($_POST["password1"]) && !empty($_POST["password2"]))
	{
		if($_POST["password1"] == $_POST["password2"])
		{
			// INSERT en bdd
			$pdostat =  $objetpdo->prepare('INSERT INTO basemotpasse (username, password1) VALUES(:username, :password1);');
			$pdostat->bindvalue(':username',$_POST['username'],PDO::PARAM_STR);
			$pdostat->bindvalue(':password1',password_hash($_POST["password1"],PASSWORD_DEFAULT),PDO::PARAM_STR);
			$pdostat->execute();
 
			// Mise en SESSION
			$_SESSION['islogged'] = true;
			$_SESSION['username'] = $row['username'];
			// ATTENTION ! ON NE MET JAMAIS LE MOT DE PASSE EN SESSION !!
			// on redirige vers l'espace membre
			header('location:espace_membre.php');
			exit();
		} else {
			$err_inscription[] = 'Les deux mots de passe sont différents.';
		}
	} else {
		$err_inscription[] = 'Remplissez tous les champs obligatoires.';
	}
}
// --------------
// 2- CONNEXION
$err_connexion = array();
if(isset($_POST['connexionmembre']) )
{
	if( !empty($_POST['username']) && !empty($_POST['password1']) )
	{
		// requete : username existe ?
		$pdostat = $objetpdo->prepare("SELECT username, password1 FROM basemotpasse WHERE username = :username");
		$pdostat->bindvalue(':username',$_POST['username'],PDO::PARAM_STR);
		$pdostat->execute();
		if( $pdostat->rowCount()>0 ) // username OK
		{
			$row = $pdostat->fetch();
			// on compare le mot de passe entré avec celui enregistré en bdd
			if( password_verify($_POST['password1'], $row['password1']) ) // pwd OK
			{
				// Mise en SESSION
				$_SESSION['islogged'] = true;
				$_SESSION['username'] = $row['username'];
				// ATTENTION ! ON NE MET JAMAIS LE MOT DE PASSE EN SESSION !!
				// on redirige vers l'espace membre
				header('location:espace_membre.php');
				exit();
			} else{
				$err_connexion[] = 'Identifiant et/ou mot de passe incorrect.';
			}
		} else {
			$err_connexion[] = 'Identifiant et/ou mot de passe incorrect.';
		}
	} else {
		$err_connexion[] = 'Remplissez tous les champs obligatoires.';
	}
}
?>
<!DOCTYPE html>
<html>
<head>
	<title>Inscription, Connexion membres</title>
</head>
<body>
	<h2>Inscription</h2>
<?php 	if( !empty($err_inscription) ){ ?>
		<div class="error"><?php echo implode('<br/>', $err_inscription); ?></div>
<?php 	} ?>
	<form action="inscription_connexion_membre.php" method="post">
		<p>
			<label>Identifiant :</label>
			<input type="text" name="username" required />
		</p>
		<p>
			<label>Mot de passe :</label>
			<input type="password" name="password1" required />
		</p>
		<p>
			<label>Retapez mot de passe :</label>
			<input type="password" name="password2" required />
		</p>
		<p><input type="submit" name="inscriptionmembre" /></p>
	</form>
 
	<h2>Connexion</h2>
<?php 	if( !empty($err_connexion) ){ ?>
		<div class="error"><?php echo implode('<br/>', $err_connexion); ?></div>
<?php 	} ?>
	<form action="inscription_connexion_membre.php" method="post">
		<p>
			<label>Identifiant :</label>
			<input type="text" name="username" required />
		</p>
		<p>
			<label>Mot de passe :</label>
			<input type="password" name="password1" required />
		</p>
		<p><input type="submit" name="connexionmembre" /></p>
	</form>
</body>
</html>

PROTECTION des PAGES
protect_page.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<?php if( session_id()=='' ){ session_start(); } // démarrage SESSION
if( empty($_SESSION['islogged']) && empty($_SESSION['username']) )
{
	// on redirige vers les formulaires
	header('location:inscription_connexion_membre.php');
}
// Sinon, OK, on continue

on l'inclut au début de chaque page à protéger (espace membre) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<?php require('protect_page.php'); // (adapter le chemin)
//.....

[OUZFA]

Bonjour Jreaux62,
pardon de te déranger encore avec mes histoires. J'ai appliqué les codes que tu m'as envoyés. Cela fonctionne sauf que au moment où je me suis connecté j'ai rçu le message suivant:

Notice: Undefined variable: row in /homepages/34/d793616889/htdocs/exemple_inscription_connexion.php on line 29 qui correspond à cette ligne dans le code: $_SESSION['username'] = $row['username'];

du coup j'ai ajouté $row devant $pdostat->execute(); comme suit: $row=$pdostat->execute(); // (LIGNE 25).

ça fonctionne sans encombre et je parviens à ouvrir l'espace membre. Lorsque j'essaie d'accéder à l'espace membre il me redirige vers la page connexion comme prévu grâce à include protection_page.php.

Sauf que j'ai toujours le même problème lors de la connexion. Je n'arrive pas à me connecter car le message 'Identifiant et/ou mot de passe incorrect.' persiste.
Je suis bloqué. Je te demande pardon.

[Invité]

Bonjour,

1- INSCRIPTION
Remplace Ligne 29 (de mon code précédent) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

			$_SESSION['username'] = $row['username'];

par :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

			$_SESSION['username'] = $_POST['username'];

2- CONNEXION
Remplace toute la partie "connexion" par :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
// --------------
// 2- CONNEXION
$err_connexion = array();
if(isset($_POST['connexionmembre']) )
{
	if( !empty($_POST['username']) && !empty($_POST['password1']) )
	{
		// requete : username existe ?
		$pdostat = $objetpdo->prepare("SELECT username, password1 FROM basemotpasse WHERE username = :username");
		$pdostat->bindvalue(':username',$_POST['username'],PDO::PARAM_STR);
		$pdostat->execute();
		if( $pdostat->rowCount()>0 ) // username OK
		{
			$row = $pdostat->fetch();
			// on compare le mot de passe entré avec celui enregistré en bdd
			if( password_verify($_POST['password1'], $row['password1']) ) // pwd OK
			{
				// Mise en SESSION
				$_SESSION['islogged'] = true;
				$_SESSION['username'] = $row['username'];
				// ATTENTION ! ON NE MET JAMAIS LE MOT DE PASSE EN SESSION !!
				// on redirige vers l'espace membre
				header('location:espace_membre.php');
				exit();
			} else{
				$err_connexion[] = 'erreur : mot de passe : '.$_POST['password1'];
				$err_connexion[] = 'Identifiant et/ou mot de passe incorrect.';
			}
		} else {
			$err_connexion[] = 'rowCount : '.$pdostat->rowCount();
			$err_connexion[] = 'erreur Identifiant : '.$_POST['username'];
			$err_connexion[] = 'Identifiant et/ou mot de passe incorrect.';
		}
	} else {
		$err_connexion[] = 'Remplissez tous les champs obligatoires.';
	}
}

... et MONTRE le message d'erreur qui s'affiche.

[OUZFA]

Bonjour,
j'ai appliqué les modifications. Il n'y a plus de message d'erreur.
Par contre le problème de connexion demeure inchangé. Je parviens à ouvrir une session lors de l'inscription, mais il est impossible de me connecter par la suite car il ne reconnait pas le mot de passe qui, pourtant, existe dans la base des données (haché)

je reçois le message suivant:

erreur : mot de passe : xxxx
Identifiant et/ou mot de passe incorrect.

[OUZFA]

Salut Jreaux62,
hier, pour comparer le mot de passe '$_POST['password1']' au mot de passe haché j'ai fait un essai en ajoutant une variable $hash :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$hash = password_hash($_POST["password1"],PASSWORD_DEFAULT);

ensuite dans la partie connexion j'ai introduit ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
if( password_verify($_POST['password1'], $hash) ) // pwd OK

Resultat: ça fonctionne bien car il compare au moins le 'username' et ouvre une session. Le souci est que le mot de passe haché qui est pris en compte est celui qui vient d'être tapé lors de la connexion et non celui stocké dans la base de données lors de l'inscription. Donc c'est logique que ça fonctionne. J'ai essayé de mettre la variable plus haut dans le code pour qu'elle soit liée au mot de passe de l'inscription et non à celui tapé lors de la connexion, mais malheureusement en faisant ainsi elle n'est plus reconnue dans la partie CONNEXION.

[Invité]

Vu !

$2y$10$sYbqY.fVbU2Hz

Le mot de passe hashé devrait être plus long... -> 60 caractères AU MOINS !
MONTRE LA STRUCTURE de la table de la BDD.
A mon avis, la colonne 'password1' n'est pas assez grande.

password_hash() :

PASSWORD_DEFAULT
- Utilisation de l'algorithme bcrypt (par défaut depuis PHP 5.5.0). Notez que cette constante est concue pour changer dans le temps, au fur et à mesure que des algorithmes plus récents et plus forts sont ajoutés à PHP. Pour cette raison, la longueur du résultat issu de cet algorithme peut changer dans le temps, il est donc recommandé de stocker le résultat dans une colonne de la base de données qui peut contenir au moins 60 caractères (255 caractères peut être un très bon choix).

• Mets-le en VARCHAR(255)
• + refais l'inscription (pour avoir le bon)

[OUZFA]

BRAVO Jreaux62,
avec ta question tu m'as mis sur une piste.
c'était la taille maximale des mots de passe dans la BDD qui posait problème. Elle était à 50 et je l'ai mise à 250. et c'set réglé.
Quelle disponibilité et quelle générosité !! Merci beaucoup et bonne continuation