Discussion :

[boss183]

Bonjour à tous,
je souhaiterais protéger une page HTML grâce à l'authentification HTTP et en utilisant des noms d'utilisateurs et mot de passe déjà contenu dans ma base de données, j'ai trouvé un script pour ce que je souhaite faire, au début je me connecte à ma BDD (jusque là pas de problème) mais par la suite le script donne ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
// Interroger la base de données
  $rq = "SELECT prenom FROM utilisateurs
         WHERE nom_utilisateurs='{$_SERVER['PHP_AUTH_USER']}'
         AND mot_de_passe=PASSWORD('{$_SERVER['PHP_AUTH_PW']}'}";
  $result = mysql_query ($rq);
  $ligne = @mysql_fetch_array ($result);
  if ($ligne)
  { // Si un enregistrement a été renvoyé
    $auth = TRUE;
    }
    }
//Si on trouve rien:
if (!$auth)
{ header('WWW-Authenticate: Basic realm="homelive"');
   header('HTTP/1.0 401 Unauthorized'); //Coup d'arrêt
   }
?>

j'ai remplacé nom_utilisateur pas idUSER
et mot_de_passe par mdp

pour que ça corresponde à ma table (je ne sais si j'ai bien fait ça correctement)

lorsque je lance ma page HTML on me demande bien de m'authentifier mais l'authentification ne marche pas alors que je tape un idUSER et un mdp existant dans ma BDD.

De plus, j'ai entendu dire que l'on pouvait utiliser cette fonction que si PHP fonctionnait en module apache mais comment savoir si PHP est exécuté en qualité de module d'Apache et non en CGI.

Merci d'avance

[julp]

De plus, j'ai entendu dire que l'on pouvait utiliser cette fonction que si PHP fonctionnait en module apache mais comment savoir si PHP est exécuté en qualité de module d'Apache et non en CGI.

Oui mais si tel était le cas, les variables que vous tentez d'utiliser n'existeraient pas ! Vous pouvez normalement déterminer l'usage de PHP en tant que CGI ou non via la constante PHP_SAPI (et/ou d'après la sortie du phpinfo où figure cette information) et le cas échéant, retransmettre tout de même la partie authentification des entêtes à PHP par une règle de réécriture.

Notez cependant que la syntaxe de votre requête, dont vous n'avez pas jugé bon de tester l'exécution, est incorrecte (il y a une accolade à la fin qui ne correspond pas à la parenthèse ouverte plus tôt) et que la fonction PASSWORD n'est pas recommandée pour hacher les mots de passe (c'est plutôt à réserver à MySQL).