[Sécurité] Mysqli couldn't fetch() ..

**..:: Atchoum ::..** · 27/12/2005, 01h32

Bonsoir tout le monde,

J'ai beau chercher mon erreur mais je ne la voit pas...(d'ailleurs il n'y en a peut etre pas ...

)

J'ai une classe mymysqli que j'instancie a chaque page...
Dans le header :

<?php
try {
$mysqllink=new mynmysqli($_SERVER['DOCUMENT_ROOT']."/global/site.ini.php");
}catch (Exception $e) {print $e;exit(1);}
?>

Pour logguer un admin sur l'interface j'ai un login.php qui vérifie la connexion :

<?php
include_once($_SERVER['DOCUMENT_ROOT']."/global/lib.inc.php");
session_start();
try
{
$_SESSION['admin'] = new administrateur($mysqllink, $_POST['log'], $_POST['pass']);
if ($_SESSION['admin']->connectUser())
header("Location: index_admin.php");
else
header("Location: index.php");
}
catch( Exception $e) {print $e;exit(1);}
?>

Jusque la tout vas bien je suis redirigé vers index_admin.php

Dans ce fichier index_admin.php je vérifie la session:

<?php
try
{
if ($_SESSION['admin'])
{
if (!$_SESSION['admin']->verifAuth($_SERVER['SCRIPT_NAME']))

{
unset($_SESSION);
session_destroy();
header("Location: index.php");
exit(-1);
}
}else
{
header("Location: index.php");
exit(-1);
}
}catch (Exception $warEx)
{
echo $warEx;
exit(1);
}
?>

Les session_start() sont tous bien fait etc...
voila le code de la fonction verifAuth()

<?php
private function checkLogin()
{
$query = "Select ADM_Login";
$query .= " FROM TBL_ADMIN";
$query .= " WHERE ADM_Login = '".$this->login."'";
$query .= " AND ADM_Pass = '".$this->password."'";
$result = $this->db->query($query);
if ($result->num_rows == 1)
return (true);
return (false);
}

public function verifAuth($page)
{
if ($this->checkLogin())
{
if (ereg("^/admin/(.*).php", $page, $regs))
{
$temp = array();
foreach ($this->listDroit as $key => $value)
if (ereg("^$key", $regs[1], $tab))
$temp[] = $key;
if (sizeof($temp)>0)
{
arsort($temp);
if ($this->listDroit[$temp[0]])
return (true);
}else
return true;
}
}
return (false);
}
?>

A la limite tout ces bout de code ne serventpas vraiment c'est juste pour que vous ayez tous.

Mon erreur arrive lors du checkLogin appelé dans la fonction verfiAuth
elle arrive a l'appelle de $this->db>query

Warning: Couldn't fetch mymysqli in /var/www/html/LEAVITAL/leanature.novactive.com/wwwroot/classes/mynovasql.class.php on line 35

Warning: Couldn't fetch mymysqli in /var/www/html/LEAVITAL/leanature.novactive.com/wwwroot/classes/mynovasql.class.php on line 36

Déjà moi je n'avais jamais vu ces erreurs... et je comprends vraiment pas... si c'est déja arrivé a quelqu'un

a ces lignes :

<?php
function query($query)
{
35 $result = parent::query($query);
36 if(mysqli_error($this))
throw new SQLException(mysqli_error($this), mysqli_errno($this), $query);
return $result;
}
?>

Merci d'avance

Note: Si je déclare mon abjet mymysqli en global dans ma classe administrateur ( c'est a dire si je ne la passe pas en argument dans le constructeur) et bien ca marche.. seulementce n'est pas top d'avoir a faire des global $mysqllink; dans chaque fonction c'est pourquoi je veux que chaque objet qui a besoin d'accéder a la base est un attribut $db que je rempli dans le constructeur... mais avec cette dernière methode ca coince...
++

Php 5.0.4 sur une BSD 5.4 avec mysql 4.1

**siddh** · 27/12/2005, 01h54

salut,
il te faut peut etre mettre des methodes __sleep et __wakeup dans ta classe pour lui refaire la connection a la base a la récupération de la session.

Dans la classe mynmysqli :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
function __sleep()
	{
		return array_keys(get_class_vars(get_class($this)));
	}
 
	function __wakeup()
	{
		//tu refais ta connexion et ton select db	
        }

**..:: Atchoum ::..** · 27/12/2005, 02h10

Ok j'ai fait comme tu as dis et ca marche....

<?php
    function __sleep()
    {
          return array_keys(get_class_vars(get_class($this)));
    }

   function __wakeup()
   {
      try {
            parent::__construct(
                                    $this->dbase_hostname,
                                    $this->dbase_username,
                                    $this->dbase_password,
                                    $this->dbase_name
                                );    
            }catch (WarningException $we) {
                 if(mysqli_connect_error()){
                     throw new DBConnectException(mysqli_connect_error(), mysqli_connect_errno());
                   /* Throw an error if the connection fails */
                 }
             }
   }
?>

Mais j'ai relu la doc sur c'est deux fonctions magiques et je ne comprends pas du tout pourquoi je suis olbligé de faire cela ?
L

e but avoué de __sleep est de clore toutes les connexions aux bases de données que l'objet peut avoir, valider les données en attente ou effectuer des tâches de nettoyage. De plus, cette fonction est utile si vous avez de très gros objets qui n'ont pas besoin d'être sauvegardés en totalité.

Personne ne dit que c'est obligatoire ?
Et c'est pas un peu "bourrin de recréer la connexion comme ca ? et surtout pourquoi n'est t elle pas garder ?

**siddh** · 27/12/2005, 02h13

elle n'est pas gardée car ce n'est pas un objet php mais une ressource externe qu il semble avoir du mal a serializer.

C'est une sorte de pointeur memoire vers ta connection et ca il arrive pas a le stocker en session sur fichier et a le récupérer.

Pour plus de sécurité, tu peux fermer la connection dans le __sleep meme si normalement mysql le fait tout seul