Discussion :

[franck.thibault]

Bonjour,

Je souhaiterais mettre en place sur mon site un système d'inscription (comme sur des forums par exemple) avec une vérification par email.
Par contre, je ne sais pas du tout comment cela fonctionne. Quelqu'un pourrait-il m'expliquer le principe ? A quoi correspond le lien hypertexte que de tels systèmes transmettent ?
Merci d'avance pour vos réponses.

[SpiritOfDoc]

Tout simplement, mais il y a, comme toujours, plusieurs possibilités

Celle que je te propose :
Il faut au préalable une colonne validation.
Lorsque j'envoie le mail, je Crypte le mot de passe en md5(); puis je récupère ce mot de passe crypté et je l'ajoute dans un lien du style : confirmation.php?c=$passcrypt

Ensuite quand la personne va recevoir son mail elle ne pourra pas se connecter (ceci est du à la colone validation qui aura la valeur 0), il va donc lui falloir cliquer sur ce beau lien.
Le fait de cliquer sur ce lien lance une requête qui cherche le mot de passe (qui est aussi crypté dans la BDD) qui est identique à celui de la variable $GET['c'], puis je fais un UPDATE en remplaçant la valeur 0 par 1.

Bien sur il faut prendre en compte cette valeur dans le script d'identification.

[|PaRa-BoL]

Je conseil de concaténé l'unixtime ou autre avant le passage à MD5 car si plusieur personnes on le même mot de pass forcement là tes cassé
Ou bien de rajouter le login dans le lien de validation et de faire ta verification SQL sur les deux champs

[SpiritOfDoc]

Je conseil de concaténé l'unixtime ou autre avant le passage à MD5 car si plusieur personnes on le même mot de pass forcement là tes cassé
Ou bien de rajouter le login dans le lien de validation et de faire ta verification SQL sur les deus champs

En effet, ou au pire, tu rajoutes une valeur date dans ton lien :') (faut le faire le zigoto qui s'inscrit à la même seconde avec le même mot de passe xD)

[|PaRa-BoL]

Ho j'ai vu des truc très bizard sur internet xD il faut toujours envisager toute les possibilités

[franck.thibault]

Merci pour la réponse aussi rapide. Je vais pouvoir tester tout ça. Y a-t-il d'autres astuces comme l'heure ?

[|PaRa-BoL]

Le plus simple je pense c'est que dans l'url de verification il y'est :

l'id unique et une chaine MD5 stocké dans la table en rapport avec l'user.
Pour générer cette chaine tu peux convertire en MD5 le pass de l'user + chaine aléatoire ou alors concaténé pseudo + time(). Tu fait ce que tu veux en faite xD
Le principal étant que la personne ne puisse pas deviner ou bruteforcer pour trouver la clef. Donc en gros je dirais pour la concaténation :

iduser + pseudo + microtime()

[franck.thibault]

...Donc en gros je dirais pour la concaténation :

iduser + pseudo + microtime()

Ce qui correspond à un champ supplémentaire dans la table des utilisateurs.
J'ai bien compris ?

[Yoteco]

oui il te faut un champ dans lequel tu définis si l'utilisateur a activé son email ou non (0 ou 1)...

[|PaRa-BoL]

Plus le champ contenant la clef d'activation, ou plus simplement un seul champ contenant la clef et si elle est valider tu le passes à NULL.
Mais pour des utilisations futur il vaux mieux mettre 2 champs :

BOOL : validé[oui/non]
varchar : la clef

[Yoteco]

Tu n'as pas forcément besoin d'un champ qui contient la clé si tu arrive à déchiffrer la clé... Par exemple si tu met le mot de passe en md5 + l'id de l'utilisateur tu peux reprendre ces deux valeur et les comparer. Les 32 premier c'est le mot de pas et la suite c'est l'id

[franck.thibault]

OK C'est bon. Merci à tous.
Je devrais m'en sortir.

[|PaRa-BoL]

Tu n'as pas forcément besoin d'un champ qui contient la clé si tu arrive à déchiffrer la clé... Par exemple si tu met le mot de passe en md5 + l'id de l'utilisateur tu peux reprendre ces deux valeur et les comparer. Les 32 premier c'est le mot de pas et la suite c'est l'id

Oui mais si quelqu'un de mal intentionné trouve comment encoder la clef il peut valider un compte sans avoir reçu le mail

[SpiritOfDoc]

Oui mais si quelqu'un de mal intentionné trouve comment encoder la clef il peut valider un compte sans avoir reçu le mail

Bouh, j'ai validé un compte, je vais terrorisé !!!

[|PaRa-BoL]

Bah si ya besoin de validation c'est qu'il ya une raison Spam, etc..