Discussion :

[koskoz]

Salut tout le monde,
j'ai actuellement un petit problème d'include en php.
J'ai mon design, prévu avec certains blocs, et il y a un bloc pour l'identification.
J'inclus donc mon fichier pour se logguer, tout se passe bien, mais lorsque l'on clique sur le bouton pour se logguer, la page qui suit et qui contient la vérification des identifiants ainsi qu'un petit message de bienvenu ne s'inclut pas dans mon cadre, mais ouvre en fait une nouvelle page :sweat:

J'aimerai donc que mon message de bienvenu reste dans le cadre prévu à cette effet sans ouvrir une nouvelle page, sachant que ma structure ressemble grosso-modo à ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
<?php
 
session_start();
require('admin/includes/config.inc.php');
 
?>
 
<body>
			<div id="ident">
 
			<h2 id="ident"></h2>
 
				<?php include('membres/index.php'); ?>
 
			</div>	
 
 
			<div id="body">
				 <?
if(isset($_GET["page"]) && file_exists($_GET["rub"]."/".$_GET["page"] .".php"))
{
include dirname(__FILE__)."/".$_GET['rub']."/".$_GET['page'].".php";
}
else {
include dirname(__FILE__)."/home.php";
}
?>
</div>
 
</body>

Et tou ce qui doit toujours rester dans le cadre est l'include tout basique située dans le bloc "ident".

Voilà, merci d'avance

[FCYPBA]

Bonjour,

Je vais te proposer deux solutions.

Première :

Quand l'utilisateur s'identifie, on est envoyé vers la page de véification via le formulaire de l'include login. Si le login est valide, alors on met une variable de session à 1 ( par ex : $_SESSION['LOGIN_OK'] = 1; ). Puis on renvoi vers la page d'accueil. Maintenant, voilà l'astuce.
Quand tu affiches le bloc de login, il suffit de faire un test pour savoir si la personne est identifiée ( $_SESSION['LOGIN_OK'] == 1 ) ou non

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<div id="ident">
<h2 id="ident"></h2>
<?php 
if ($_SESSION['LOGIN_OK'] == 1 ) echo 'Bienvenue ...';
else require_once 'membres/index.php';
?>
</div>

Ma deuxième proposition est de faire l'identification à la mode "Web 2.0". C'est à dire que le bloc contient un formulaire que l'on soumettra en Ajax. Si l'identification se déroule correctement on modifiera le contenu du div ident via le javascript ( DOM )

PS : Je viens de regarder ton script et je te conseille de faire très attention car tu peux avoir un comportement non désiré si l'utilisateur modifie les variables rub et page.

Bonne soirée

[koskoz]

Salut,
merci pour ta réponse, je vais opter pour la première solution vu que je n'y connais rien en javascript et qu'avec php c'est très facile.

Par contre, je croyais que mon script d'include n'avait pas de faille, les fichiers était vérifié directement sur le serveur pour savoir s'ils y sont et le dirname faisant le reste .

Peux tu m'en dire plus s'il te plait ?

[mathieu]

Par contre, je croyais que mon script d'include n'avait pas de faille, les fichiers était vérifié directement sur le serveur pour savoir s'ils y sont et le dirname faisant le reste .

tu testes uniquement si le fichier existe avant de l'inclure, ça évite juste une erreur si le fichier n'existe pas
si par exemple $_GET['rub'] contient "../../../etc/" le visiteur pourra voir tous les fichiers PHP qui sont dans le repertoire "etc" par exemple
pour éviter ça je vois deux possibilités :
- soit tu vérifie que $_GET['rub'] et $_GET['page'] ne contiennent ni ".." ni "/"
- soit tu vérifie que $_GET['rub'] fait partie des répertoires autorisés (avec "in_array" par exemple) et ensuite tu vérifie que le fichier $_GET['page'] se trouve bien dans le repertoire mais pas avec file_exist. tu devra lire tout le répertoire et ensuite vérifier que le fichier est dans la liste

[koskoz]

Salut,
pour l'instant j'ai ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<?php
$rep = array ("membres");
 
if(isset($_GET["page"]) && file_exists($_GET["rub"]."/".$_GET["page"] .".php") && in_array ($_GET["rub"], $rep))
{
include dirname(__FILE__)."/".$_GET['rub']."/".$_GET['page'].".php";
}
else {
include dirname(__FILE__)."/home.php";
}
?>

Mais quel est l'interêt de parcourir tout le dossier si il vérifie directement si le fichier existe ?

[mathieu]

Mais quel est l'interêt de parcourir tout le dossier si il vérifie directement si le fichier existe ?

parce que là avec le test que tu as rajouté on peut faire $_GET['rub'] = 'membres' et $_GET['page'] = '../../../etc/fichier' et le visiteur voit le fichier "/etc/fichier.php"

[koskoz]

Merci de ta réponse, je vais essayer de la mettre en oeuvre .

Pour revenir au sujet initial, j'ai changé pour faire ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
			<?php
			echo $_SESSION['test'];
			//$_SESSION['auth'] = true;
if (!empty($_SESSION['auth'])) {
echo "Bonjour <a href=\"membres/edit.php?id=".$select2['id']."\">".$_SESSION['pseudo']."</a>,<br />";
}
else {
include(dirname(__FILE__).'/membres/index.php'); 
}
?>

Et mon fichier verif_connec.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?php
require('../admin/includes/config.inc.php');
//$_SESSION['auth'] = false;
 
$nick = trim($_POST['pseudo']);
$pass = md5(trim($_POST['pass']));
 
mysql_connect(HOSTNAME, USERNAME, PWD);
mysql_select_db(DBNAME);
 
$select = mysql_query("SELECT * FROM membres WHERE pseudo='".mysql_real_escape_string($nick)."' AND pass='".mysql_real_escape_string($pass)."'") or die(mysql_error());
$select2 = mysql_fetch_array($select);
 
if($select2) {
 
session_start();	
$_SESSION['pseudo'] = $nick;
$_SESSION['auth'] = true;
$_SESSION['test'] = "test";
 
header("Location: ../index.php");
}
else {
?>
Mauvais pseudo ou mot de passe.
<?php
}
mysql_close();
?>

Mais j'ai toujours un gros soucis :
lorsque je me logue et que je tape un mauvais identifiant ou/et mot de passe, j'ai le droit au message d'erreur comme quoi ce n'est pas bon, et je reste sur la page blanche.

Jusque là, pas de soucis, mais lorsque je rentre un bon identifiant et mdp, je suis renvoyé vers l'index mais le formulaire est toujours présent.

En fait, j'ai l'impression qu'il n'y a aucune variable qui passe dans la session, puisque même la variable "test" ne saffiche pas...

[FCYPBA]

Il ne faut pas oublier de faire le session_start() sur la page d'index bien evidemment

[viviboss]

.....Je dirais même plus : session_start() dans ta page index, mais aussi dans TOUTE page dans lesquelles tu utiliseras les variables de sessions !!!!

(ne pas oublier : session_start() en tête de fichier, sans aucune instructions de sorties avant !!!)