Discussion :

[Alexandrebox]

Bonsoir,

Voici mon problème.
J'ai fait un code d'identification. Le problème est que aussi bien pour le login ou le mot de passe, qu'on écrive "godard" ou "GODARD" ça se connecte dons pas sensible à la casse. J'aimerais savoir si je devrais utiliser une fonction spéciale pour ça.

Voici mon code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
 
<?php
$cologin = "1";
if (isset($_POST['login'])) {
  $cologin = (get_magic_quotes_gpc()) ? $_POST['login'] : addslashes($_POST['login']);
}
$colpass = "1";
if (isset($_POST['password'])) {
  $colpass = (get_magic_quotes_gpc()) ? $_POST['password'] : addslashes($_POST['password']);
}
 
$query_Recordset1 = sprintf("SELECT * FROM profil WHERE user = '%s' AND pass ='%s'",$cologin,$colpass);
$Recordset1 = mysql_query($query_Recordset1, $connexion) or die(mysql_error());
$row_Recordset1 = mysql_fetch_assoc($Recordset1);
$totalRows_Recordset1 = mysql_num_rows($Recordset1);
?>

Merci pour votre aide

[N1bus]

Bonjour,

Si tu es sous Mysql4 : tu peux utiliser un champ VARCHAR avec l'attribut BINARY

Si tu es sous Mysql5 : Tu peux utiliser directement VARBINARY

[Alexandrebox]

Je vais vérifier tout ça et te redis.

Merci bcp

[Alexandrebox]

T'es le meilleur. N1 bus
ça marche nickel. Merci beaucoup

A propos, tu trouves mon code bien sécurisé? ou il manque quelque chose. Conseille-moi stp

[N1bus]

You welcome !

Pour la sécurité,

Tous les login /mot de passe je les chiffre dans la BDD.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
$Login = sha1($le_login_user);
$Pass = sha1($le_pass);
 
//Généralement pour faire une pass, je fais un truc comme ça :
 
$X_pass = $nom_user . date("YmdHis") . $login . $IP . $etcoetera ;
 
$Le_Pass_en_clair_a_envoyer_a_user : substr(md5($X_pass),5,10); //mot de pass 10 chars
 
$Le_Pass_chiffre_pour_mysql = sha1($Le_Pass_en_clair_a_envoyer_a_user );

Je fais une sauce différente à chaque fois.
J'utilise aussi pas mal la lib_mcrypt pour chiffrer des données sensibles.

[Alexandrebox]

Merci beaucoup pour ton aide

[julp]

Remplacer la fonction "générique" addslashes par la fonction spécifique au SGBD (ici mysql_real_escape_string qui s'utilise de la même manière). Voir la FAQ : Comment se protéger des failles d'injection ?, vous verrez qu'elle (addslashes) n'y est pas mentionnée.

Si vous avez oublié de remplir un champ ou plus (c'est un cas visiblement prévu), votre requête fonctionne comme vous vous y attendez ?

[Alexandrebox]

Merci beaucoup.
Je suis en train de lire tout ça