Problème d'identification (password+mail)

**NeiBaF** · 09/09/2009, 14h50

Bonjour,

Je suis en train de coder une page d'identification où il suffit donc d'entrer mail + password pour être identifier.
J'ai une base de données comprenant quelques identifiants prédéfinis afin de vérifier si ça marche ou non.
Le problème est que non, malgré le fait que ma requête fonctionne sous SQL.
Voici ma partie de code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<?php
 
	$host = "localhost";
	$user = "root";
	$passwd = "";
	$database = "librairie";
 
	$conn = mysqli_connect($host, $user, $passwd)
		or die ("Erreur de connection");
 
$StrQuery="SELECT mailCli FROM clients WHERE mailCli = '".$_POST['email']."'";
$result=mysqli_query($conn,$StrQuery);
print_r($result);
 
if ($result != NULL)
{
echo "verif password";
} // fin du if 
 
else 
{ 
echo "inscription";
}// fin du else 
 
?>

Avec ceci, le message "inscription" s'affiche systématiquement, même si le champs reste vierge...
Je souhaite juste affiché un message pour le moment, je pense qu'une fois ce problème résolu, ça ira tout seul.

Merci d'avance

**sachav** · 09/09/2009, 14h53

Essayez avec:

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$result=mysqli_query($conn,$StrQuery);
$result=mysqli_fetch_row($result);
$result=$result[0];

**darkstar123456** · 09/09/2009, 14h53

Envoyé par PHP Manual

Cette fonction retourne TRUE en cas de succès, FALSE en cas d'échec. Pour SELECT, SHOW, DESCRIBE ou EXPLAIN, mysqli_query() retournera un résultat sous la forme d'un objet.

mysqli_query() ne retourne JAMAIS NULL

**NeiBaF** · 09/09/2009, 14h58

Merci de m'aider

Warning: mysqli_fetch_row() expects parameter 1 to be mysqli_result, boolean given in D:\www\demo\fonctionlogin.php on line 23

Il s'agit de la ligne :
$result=mysqli_fetch_row($result);

**NeiBaF** · 09/09/2009, 14h59

Envoyé par darkstar123456

mysqli_query() ne retourne JAMAIS NULL

Ah ! Ceci explique cela...
Je vais voir ce que je peux faire et je tiens au courant

**sachav** · 09/09/2009, 15h01

Pourquoi n'utilisez-vous pas les fonctions mysql au lieu des fonctions mysqli ? o_O

**NeiBaF** · 09/09/2009, 15h08

Bon bah j'ai toujours le même problème, je dois mal faire quelque chose

Avec : if ($result == TRUE) il me retourne "inscription"
Et avec if ($result = TRUE) il me retourne "verif password"

Envoyé par sachav

Pourquoi n'utilisez-vous pas les fonctions mysql au lieu des fonctions mysqli ? o_O

A vrai dire je suis en formation, le formateur nous a conseillé comme ca donc comme je suis bête et discipliné...

**sachav** · 09/09/2009, 15h11

Heu... essayez :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
 
 
$host = "localhost";
$user = "root";
$passwd = "";
$database = "librairie";
 
$conn = mysql_connect($host, $user, $passwd)
or die ("Erreur de connection");
 
$StrQuery="SELECT mailCli FROM clients WHERE mailCli = '".$_POST['email']."'";
 
$result=mysql_query($conn,$StrQuery);
$result=mysql_fetch_array($result);
$result=$result[0];
 
print_r($result);
 
if ($result != NULL)
{
echo "verif password";
} // fin du if
 
else
{
echo "inscription";
}// fin du else

**darkstar123456** · 09/09/2009, 15h25

Envoyé par NeiBaF

Bon bah j'ai toujours le même problème, je dois mal faire quelque chose

Avec : if ($result == TRUE) il me retourne "inscription"
Et avec if ($result = TRUE) il me retourne "verif password"

A vrai dire je suis en formation, le formateur nous a conseillé comme ca donc comme je suis bête et discipliné...

double égalité => test
simple égalité => assignation

donc tester if ($result = TRUE) sera toujours vrai vu qu'il s'agit d'assigner TRUE à la variable $result

Sinon pareil, je conseil d'utiliser mysql_ plutot que mysqli_, je me suis jamais bien intéressé aux différences car je sais que mysql_ est beaucoup plus simple et possède beaucoup plus de fonctions...

D'ailleurs dans ce cas-ci, il suffit alors de tester grace à mysql_num_rows() juste apres le mysql_query()

**NeiBaF** · 09/09/2009, 16h10

J'ai fais toute une batterie de tests, rien de bien concluant.
En revanche j'ai vu que j'avais oublié de me connecter à ma base

j'ai donc ajouté "mysqli_select_db($conn, $database);" en pensant resoudre mon problème, mais que néni.
La solution de sachav ne fonctionne pas non plus

Merci à vous de m'aider en tous les cas. Je prends bonne note de tes remarques darkstar123456

**darkstar123456** · 09/09/2009, 16h16

Effectivement, il y a des erreurs et du mix mysql_ / mysqli_ dans le code de sachav

Voici une tite correction

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
// Connexion à la base de données MySQL
$conn = mysql_connect($host, $user, $passwd) or die ("Erreur de connection");
$conn = mysql_select_db($db_name, $conn) or die(mysql_error());
 
// Requête
$sql = "SELECT mailCli FROM clients WHERE mailCli = '".$_POST['email']."'";
$result = mysql_query($sql) or die("ERROR SQL : <br /> ".$sql."<br />".mysql_error());
if (mysql_num_rows($result) > 0) { // On vérifie si on a au moins 1 résultat
	echo "verif password";
} else {
	echo "inscription";
}?>

**NeiBaF** · 09/09/2009, 16h45

Envoyé par darkstar123456

Effectivement, il y a des erreurs et du mix mysql_ / mysqli_ dans le code de sachav

Voici une tite correction

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
// Connexion à la base de données MySQL
$conn = mysql_connect($host, $user, $passwd) or die ("Erreur de connection");
$conn = mysql_select_db($db_name, $conn) or die(mysql_error());
 
// Requête
$sql = "SELECT mailCli FROM clients WHERE mailCli = '".$_POST['email']."'";
$result = mysql_query($sql) or die("ERROR SQL : <br /> ".$sql."<br />".mysql_error());
if (mysql_num_rows($result) > 0) { // On vérifie si on a au moins 1 résultat
	echo "verif password";
} else {
	echo "inscription";
}?>

Nickel, merci

Il ne me reste plus qu'à déchiffrer la chose.
Je vois que du coup nous passons à du mysql et plus mysqli.

**darkstar123456** · 09/09/2009, 16h50

Envoyé par NeiBaF

Je vois que du coup nous passons à du mysql et plus mysqli.

Voui, c'est bien plus simple

**NeiBaF** · 09/09/2009, 16h53

Quelles sont concrètement les différences entre les deux ?

**darkstar123456** · 09/09/2009, 17h25

Envoyé par NeiBaF

Quelles sont concrètement les différences entre les deux ?

Comme je l'ai dit plus haut, je ne sais pas trop

Ha ben du coup j'en ai profité pour me renseigner...
http://www.developpez.net/forums/d37...-mysql-mysqli/

**NeiBaF** · 10/09/2009, 10h22

Merci

C'est gentil

J'ai eu des problèmes Internet hier j'ai pas pu répondre avant désolé.
Tant que je suis lancé

j'ai un "parse error" sur la ligne du "and if"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
$sql = "SELECT mailCli FROM clients WHERE mailCli = '".$_POST['email']."'"; // Vérifie si l'email entré existe dans la bdd
$sql2 = "SELECT passCli FROM clients WHERE maiCli = '".$_POST['email']."'"; // Vérifie si le pass entré correspond au mail
 
$result = mysql_query($sql) or die("ERROR SQL : <br /> ".$sql."<br />".mysql_error()); // Résultat query 1
$result2 = mysql_query($sql2) or die("ERROR SQL : <br /> ".$sql2."<br />".mysql_error()); // Résultat query 2
 
					if (mysql_num_rows($result) > 0) // Vérifie si l'email existe dans la base de données
				{ 
				and if (mysql_fetch_array($result2) == $_POST['password'])// Si ok, vérifie si le password entré correspond à ce du mail dans la bdd
				   {
				    echo "OK man";
				   }//fin du and if
				} // fin du if

Je souhaite donc vérifier si le mot de passe entré, correspond au mot de passe enregistré dans ma base, en fonction du mail entré.
J'ai du mal avec la syntaxe

**darkstar123456** · 10/09/2009, 10h33

Hmmm j'ai remodifé ton code en quelque chose de plus correct... j'ai mis quelques commentaires mais si tu as besoin de plus d'infos, n'hésite pas à me demander

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?php
$error = "";
$email = mysql_real_escape_string($_POST['email']); // Pour se proteger des injections SQL
$password = mysql_real_escape_string($_POST['password']); // Pour se proteger des injections SQL
$sql = "SELECT mailCli FROM clients WHERE mailCli = '".$email."'";
$q = mysql_query($sql) or die("ERROR SQL : <br />".$sql."<br />".mysql_error());
if (mysql_num_rows($q) > 0) {
	// Si l'email existe, on va vérifier le password
	// On sépare les requêtes SQL, en effet il n'est pas nécessaire d'exécuter la seconde si la première ne passe pas ;)
	$sql = "SELECT passCli FROM clients WHERE mailCli = '".$email."'";
	$q = mysql_query($sql) or die("ERROR SQL : <br />".$sql."<br />".mysql_error());
	if (mysql_result($q,0) != $password) {
		$error = "Mot de passe incorrect.";
	} else {
		// Traitements à effectuer si un user a saisi les bons mail & password
		// ...
	}
} else {
	$error = "Cette adresse e-mail n'existe pas.";
}
if (!empty($error)) {
	echo "<p>ERREUR : ".$error."</p>";
}
?>

NB : normalement il faudrait un peu plus de tests du genre : est-ce que le formulaire a bien été soumis ?
est-ce que les différents champs ne sont pas vides ?
est-ce que les différents champs contiennent bien quelque chose qu'on attend ? (par exemple pour l'email, ça sert à rien de regarder dans la DB si on reçoit : $_POST['email'] => 1132132)

**NeiBaF** · 10/09/2009, 10h59

Merci

C'est très gentil de ta part de m'aider de la sorte

Tout marche très bien et je comprends le code donc je suis content, j'apprends quelques trucs qui me serviront sans doute beaucoup

En revanche, je ne comprend pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$email = mysql_real_escape_string($_POST['email']); // Pour se proteger des injections SQL
$password = mysql_real_escape_string($_POST['password']); // Pour se proteger des injections SQL

Qu'est ce qu'une injection ?

Et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if (!empty($error)) {
	echo "<p>ERREUR : ".$error."</p>";
}

Je comprends bien qu'il s'agit de déterminer si un champs reste vide ou non.
Mais la syntaxe des paramètres du "if" me perturbent un peu.

**nosferapti** · 10/09/2009, 11h26

Envoyé par NeiBaF

Qu'est ce qu'une injection ?

regarde là :
http://securite.developpez.com/faq/?..._sql_injection

**darkstar123456** · 10/09/2009, 11h27

Une injection SQL... hmmm ben c'est un petit malin qui écrit "spécialement" les données d'une variable pour essayer de hacker ton serveur...

exemple avec un code login basique :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
// SQL de base
$sql = "SELECT login, pwd FROM membres WHERE login = '".$_POST['login'];."'";
 
// Ce qu'on attend de manière générale
SELECT login, pwd FROM membres WHERE login = 'darkstar123456' // n'est vrai que si on trouve "darkstar123456"
 
// Injection SQL, dans l'input du login on va écrire :
// ' OR 1 OR 1 = '1
// Ce qui donnera
SELECT login, pwd FROM membres WHERE login = '' OR 1 OR 1 = '1' // toujours vrai, le mec peut se log comme il veut :)

hop ici l'injection avec un peu de couleur, ça sera plus clair... ^^
En rouge : ce que le mec met dans l'input du login
En bleu : la requete de base

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT login, pwd FROM membres WHERE login = '' OR 1 OR 1 = '1'

Pour ce qui est du if() en fait, il s'agit d'un simple test binaire... écrire un ! devant une fonction ou une variable veut dire la même chose que :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
if(!$var) // similaire à if($var == false)
if($var) // similaire à if($var == true)
if(!myFunction()) // similaire à if(myFunction() == false)
if(myFunction()) // similaire à if(myFunction() == true)

Problème d'identification (password+mail)

Langage PHP

Discussions similaires

Partager

Partager