Discussion :

[Thierouna]

Bonjour,
J'ai une préoccupation, je développe actuellement une appli en rad server et angular, j'ai créé deux composants cote angular: un pour la création de compte et l'autre pour la connexion, j'ai testé ma fonction connexion que j'ai implémenté en rad server sur Postman et ça marche très bien, cependant, quand je vais sur la page de connexion pour se connecter j'obtiens ces erreurs: Angular Failed to load resource: the server responded with a status of 500 (Internal Server Error) et Rad server {"Thread":22052,"Error":{"Type":"HTTP","Code":"500","Reason":"Error","Error":"","Description":"Violation d'accès à l'adresse 5B0B3DA3 dans le module 'ApiResource.bpl'. Lecture de l'adresse 00000000"}}

Voici le code de la fonction connexion

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
{
   Fonction permettant à l'utilisateur de se connecter
  }
 
  procedure TUtilisateurResource1.Login(const AContext: TEndpointContext;
   const ARequest: TEndpointRequest; const AResponse: TEndpointResponse);
   var
   myObject: TJSONObject;
  userEmail, passcode: string;
begin
  try
    myObject := ARequest.Body.GetObject;
    userEmail := myObject.GetValue('email').Value;
    passcode := myObject.GetValue('mdp').Value;
    FDQuery1.Close;
    FDQuery1.SQL.Clear;
    FDQuery1.SQL.Text := 'SELECT COUNT(*) FROM utilisateur WHERE email = :userEmail';
    FDQuery1.ParamByName('userEmail').Value := userEmail;
    FDQuery1.Open();
 
    if (not FDQuery1.IsEmpty) and (FDQuery1.Fields[0].AsInteger > 0) then
    begin
      FDQuery1.Close();
      FDQuery1.SQL.Text := 'SELECT COUNT(*) FROM utilisateur WHERE email = :userEmail AND mdp = :passcode';
      FDQuery1.ParamByName('userEmail').Value := userEmail;
      FDQuery1.ParamByName('passcode').Value := passcode;
      FDQuery1.Open();
 
      if (not FDQuery1.IsEmpty) and (FDQuery1.Fields[0].AsInteger > 0) then
      begin
        AResponse.Body.SetValue(TJSONTrue.Create, True);
        AResponse.StatusCode := 200;
      end
      else
      begin
        AResponse.Body.SetValue(TJSONFalse.Create, True);
        AResponse.StatusCode := 401; // Unauthorized
      end;
    end
    else
    begin
      AResponse.Body.SetValue(TJSONFalse.Create, True);
      AResponse.StatusCode := 401; // Unauthorized
    end;
  finally
    FDQuery1.Close();
  end;
   end;

[pprem]

Bonjour

Il ne devrait pas y avoir de différence entre l'appel via Angular et l'appel via Postman. Les deux devraient générer la même violation d'accès sauf si tu as des paramètres différents et qu'ils sont nécessaires pour ton programme.

As-tu tenté un déboggage en lançant ton server depuis Delphi et en y accédant en localhost depuis ton site ?

Es-tu sûr d'avoir bien passé "email" et "mdp" lors de ton appel depuis le formulaire de connexion ?

Ajoute des try...except autour de la récupération des données venant de l'extérieur et fais toi une log sous forme de fichier texte pour avoir les infos si tu n'arrives pas à débogguer. Il y a aussi des outils permettant de récupérer la pile d'appel et d'autres trucs lors de plantâmes comme par exemple Eurekalog ou des choses pour faire de l'analyse du fonctionnement des programmes en s'envoyant des traces comme par exemple CodeSite. N'hésite pas à les mettre en place (au moins en DEBUG).

[Paul TOTH]

oui, c'est un des points les plus important quand on fait du Web, ne jamais croire ce que dit le client. Un hacker tentera toujours de passer des valeurs inattendues au serveur pour essayer de trouver une faille.

sur un site marchant que je gère j'ai vu un hacker tenter de faire une commande avec 1 article et le même article avec une quantité à -1 pour avoir un prix total à 0...je n'y avais pas songé mais heureusement ma procédure n'a pas accepté la commande

plus connu il y a les injections SQL, tu mets comme mot de passe "' OR '' ='" en espérant que ça donne "... WHERE PASSWORD = '' OR '' = '' ..." si le paramètre est simplement concaténé au lieu d'utiliser une requête paramétrée.

donc, dans ton cas, il faut gérer le cas où les paramètres email ou mdp ne sont pas renseignés.

[SergioMaster]

Bonjour,

cela ne répondra pas à la question, mais je suggérerai déjà de simplifier

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
  FDQuery1.Close;
    FDQuery1.SQL.Clear;
    FDQuery1.SQL.Text := 'SELECT COUNT(*) FROM utilisateur WHERE email = :userEmail';
    FDQuery1.ParamByName('userEmail').Value := userEmail;
    FDQuery1.Open();

en

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

fdquery1.Open('SELECT COUNT(*) FROM utilisateur WHERE email = :userEmail', [userEmail]);

plus court (1 instruction au lieu de 5) donc plus facile à lire

[ShaiLeTroll]

GetObject directement retourne un TJSONObject, tu ne verifie pas le ContentType si c'est "multipart/form-data" ou "application/json" ?

Aucun try except pour capturer l'exception, faut il aller ligne par ligne pour voir celle qui provoque une erreur

Comment est géré la concurrence ?
FDQuery1 est-il dupliqué pour chaque thread de requete ?