Discussion :

[JPphp]

Bonjour,

Problème au niveau de la requête qui n'intereoge pas la base de données et dit tout de suite le mail ou le mot de passe est incorrect.
Merci pour votre aide.

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
<html>
<form action="test1.php" method="post">
 <a href="register.php">S'enregistrer dans la Cave a Vin</a><br><br> 
Email: <input type="text" name="email" value="<?php if (isset($_POST['email'])) echo htmlentities(trim($_POST['email'])); ?>" /><br> 
Mot de passe: <input type="password" name="mdp" value="<?php if (isset($_POST['mdp'])) echo htmlentities(trim($_POST['mdp'])); ?>" /><br> 
<input type="submit" name="connexion" value="Connexion" /><br>
 </form>
<?php 
session_start(); 
try 
{ 
 
$db = new PDO('mysql:host=localhost;dbname=---;charset=utf8', '---', '-----'); 
}
catch (Exception $e) 
{ 
die('Erreur : ' . $e->getMessage()); 
}
 
 
 
if(isset($_POST['connexion'])) {
            if(empty($_POST['email'])) { 
                     echo "Le champ email est vide."; 
                           } 
                                else 
                                        { 
                                                if(empty($_POST['mdp'])) { 
                                                        echo "Le champ Mot de passe est vide."; 
                                                                 } 
                                                                        else 
                                                                                {
                $email = $_POST['email']; 
                $mdp = $_POST['mdp']; 
          //    echo  $email;
           //   echo  $mdp;
$sql = "SELECT * FROM Utilisateur WHERE  email = '".$email."' AND  mdp = '".$mdp."'";
$requete = mysqli_query($db, $sql);
     if (mysqli_num_rows($requete) !=0)
       {
        $_SESSION['email'] = $email;
           echo  'ok';
         // header('Location: panier4_1.php'); 
        }
                 else 
            {
            echo "Le mail ou le mot de passe est incorrect, le compte n'a pas été trouvé."; //on ouvre la session avec $_SESSION: // $_SESSION['pseudo'] =$Pseudo; // la session peut être appelée différemment et son contenu aussi peut être autre chose que le pseudo // echo "Vous êtes à présent connecté !"; // header('Location: index.php');
            }
    }
} 
}
 
?>
</html>

[CosmoKnacki]

Ça ne risque pas de fonctionner ton histoire, tu te connectes avec PDO pour ensuite utiliser les fonctions MySQLi. C'est soit l'un, soit l'autre.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = "SELECT * FROM Utilisateur WHERE  email = '".$email."' AND  mdp = '".$mdp."'";

Ne jamais mettre les paramêtres (surtout venant de l'extérieur) dans la requête par concaténation, c'est un trou de sécurité qui permet les injections SQL.

[JPphp]

Merci beaucoup. Ça marche bien.

[cavo789]

Ceci n'est pas une réponse à ton problème mais une remarque : tu stockes donc en clair le mot de passe dans ta db. C'est absolument déconseillé et je dirais même en exagérant un peu illégal.

En cas de faille de sécurité et ta table des utilisateurs exposée publiquement tu risques quelques ennuis.

[CosmoKnacki]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$sql = "SELECT * FROM Utilisateur WHERE  email = '".$email."' AND  mdp = '".$mdp."'";
$requete = mysqli_query($db, $sql);
     if (mysqli_num_rows($requete) !=0) {

En optant pour PDO, et si on prépare la requête, ce passage devrait s'écrire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$stmt = $db->prepare('SELECT 1 FROM Utilisateur WHERE email = :email AND mdp = :mdp');
$stmt->execute(['email' => $email, 'mdp' => $mdp]);
if ($stmt->rowCount()) {