Discussion :

[Marc22]

Bonjour, j'essaie de faire un système d'authentification pour un backoffice (jamais fait).

Et j'ai du mal à saisir le principe des variables $_SESSION, j'ai regardé sur le site php manual,

ce sont des variables qui tout le long de la session gardent en mémoire le login et mot de passe?

Et est ce qu'il faut la détruire à la fin, car dans mon code, quoique je fasse il se connecte, même si c'est pas les bons codes.

Et sur php manual ils disent :

N'utilisez PAS la fonction unset() avec $_SESSION sous la forme unset($_SESSION) sinon, cela rendra impossible l'enregistrement de données dans la session en utilisant la super-globale $_SESSION.

Voici mon code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<div id="content_identification">
 
	<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">
 
		<div id="titre">Veuillez vous identifier</div>
 
		<div id="authentification">
			<span id="champs">Nom d'utilisateur : </span><span id="input"><input type="text" name="login"></span><br/><br/>
			<span id="champs">Mot de passe : </span><span id="input"><input type="password" name="mdpass"></span><br/><br/>
			<span id="input"><input type="submit" value="valider"></span>
		</div>
 
	</form>
 
</div>
 
<?php
	if (isset($_POST['login'])){		
 
		$u="SELECT * FROM $backoffice.users WHERE login = '".$_POST['login']."' AND passe = '".$_POST['mdpass']."' ;";
		$sql = mysql_query($u);
		//echo mysql_num_rows($sql);
		if (mysql_num_rows($sql)==1){
			$m = mysql_fetch_array($sql);
			$_SESSION["user"] = $m['users'];
			$_SESSION["nomprenom"] = $m["prenom"]." ".$m["nom"];
		} 
 
		if (isset($_SESSION["user"])){
			$url = "index2.php";
		}else {
				$url="index.php?errlogin=true";
		}
		echo '<script> document.location="'.$url.'";</script>';
	}
?>

Les utilisateurs et noms de code sont présents dans la bdd.

Pourquoi lorsque je teste mysql_num_rows($sql); (mis en commentaire dans le code), j'ai bien 0 lorsque je rentre n'importe quoi mais j'accède quand même à la page index2.php?
Merci.

[sabotage]

Ta vérification doit être faite sur la page protégée ; sinon il suffit de saisir directement la page index2.php pour y accèder.

Il faut également protéger tes valeurs $_POST avec mysql_real_escape_string().

Les variables en sessions n'ont pas besoin d'etre supprimées : la session est détruite à la fermeture du navigateur.

[Marc22]

Merci pour ta réponse,

en fait je dois tester la chose plutôt comme ça?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if (isset($_SESSION["user"])){
	$url = "index.php?errlogin=true";
}else {
		$url="index.php?login=false";
}

En restant sur la même page au lieu de mettre un index2.php?

Sur facebook, bon je sais c'est pas top l'exemple, mais quand on se connecte, on passe de login.php à home.php. Donc 2 pages différentes.

[Marc22]

Autre question, lorsqu'on est authentifié, on est amené à changer de pages, ces pages on pourrait y accéder sans s'être authentifié si on connait l'url, faut il faire le test à chaque fois? Comment fait on pour que l'authentification soit enregistrée?

Et pourquoi ici, je ne vois pas la variable $_SESSION, dois je utiliser ces fonctions?

http://a-pellegrini.developpez.com/t...b/?page=page_4

C'est encore moi

Est ce que ça c'est bon?

Ma page index.php initiale avec le formulaire de saisie

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<form action="index2.php" method="post">
 
	<div id="titre">Veuillez vous identifier</div>
 
	<div id="authentification">
		<span id="champs">Nom d'utilisateur : </span><span id="input"><input type="text" name="login"></span><br/><br/>
		<span id="champs">Mot de passe : </span><span id="input"><input type="password" name="mdpass"></span><br/><br/>
		<span id="input"><input type="submit" value="valider"></span>
	</div>
 
</form>

Et la page sur laquelle le formulaire renvoie :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?php
session_start();

include "connexion_admin/connect.php";


if (isset($_POST['login'])){ // execution apres envoi du formulaire
	
	
	$u="SELECT * FROM $portail.users WHERE login = '".$_POST['login']."' AND passe = '".$_POST['mdpass']."' ;";
	$sql = mysql_query($u);

	if (mysql_num_rows($sql)==1){
		$m = mysql_fetch_array($sql);

		$_SESSION["user"] = $m['users'];
		$_SESSION["nomprenom"] = $m["prenom"]." ".$m["nom"];
		$url = "index2.php?test=oui";
	} 
	else{
			echo '<script>alert(\'Erreur !\');</script>';
			$url="index2.php";
	}
							echo '<script> document.location="'.$url.'";</script>';

}

?>

Ce que j'ai mis en rouge, c'est pour la question, entre parenthèses, ça marche, si je tape de mauvais identifiants, je suis dans la bonne boucle et vice versa.

Maintenant, qu'on est identifié, déjà j'imagine que question sécurité ça doit être bourré de failles puisque je débute en la matière, comment je peux l'améliorer?

J'ai noté le mysql_real_escape_string() déjà.

Pour le reste, je veux proposer les fonctions d'administrations dans une autre page (la ligne que j'ai mise en rouge, je voudrais mettre un autre fichier php), est ce que pour vérifier l'authentification, je dois à chaque fichier vérifier les variable de session avec isset?

Merci.

[sabotage]

J'ai noté le mysql_real_escape_string() déjà

C'est bien de le noter, il faut le faire maintenant.

faut il faire le test à chaque fois?

oui au début de chaque page concernée, tu dois vérifier si tu as affaire à un utilisateur enregistré ou non.

Comment fait on pour que l'authentification soit enregistrée?

Tu n'es pas obligé de controler a chaque fois le login/pass de l'utilisateur, il faut juste controlé que tu as bien validé cela dans une session.

[Marc22]

ok, après m'être attaqué par injection sql, je comprends mieux

j'ai donc rectifié comme ceci, ça a l'air de bien marcher

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$sql=sprintf("SELECT * FROM $portail.users WHERE login = '%s' AND passe = '%s';",
mysql_real_escape_string($_POST['login']),
mysql_real_escape_string($_POST['mdpass']));

Est ce que niveau sécurité ça suffit? C'est pour savoir si niveau sécurité standard, c'est le seul truc à faire.

Et donc maintenant, (je remets l'intégralité du code concerné)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
 
if (isset($_POST['login']) && isset($_POST['mdpass'])){ // execution apres envoi du formulaire
 
	$sql=sprintf("SELECT * FROM $portail.users WHERE login = '%s' AND passe = '%s';",
 
		mysql_real_escape_string($_POST['login']),
		mysql_real_escape_string($_POST['mdpass']));
 
	$req = mysql_query($sql);
 
	if (mysql_num_rows($req)==1){
		$enr = mysql_fetch_array($req);
 
		$_SESSION["user"] = $enr['users'];
		$_SESSION["nomprenom"] = $enr["prenom"]." ".$enr["nom"];
		$url = "admin.php?"; // on envoie sur la page d'accueil de l'administration 
	} 
	else{
			echo '<script>alert(\'Erreur !\');</script>';
			$url="index.php"; // on renvoie sur la page d'identification
	}
							echo '<script> document.location="'.$url.'";</script>';
 
}

Donc j'ai mis en commentaire ce que je compte faire, si l'authentification est bonne, j'arrive sur la page d'administration admin.php, dans laquelle je compte tester (reprenez moi si je me trompe) :

$_SESSION["user"]
$_SESSION["nomprenom"]

Et comment dois je les tester? Un isset suffit-il?

Merci !