verification de l'utilisateur

Version imprimable

06/06/2012, 03h21
black-hat

verification de l'utilisateur
Bonsoir tout le monde je suis entrain de développer un système de messagerie privée , passons au code qui va etre un peu plus explicatif
Code:

1 2 3 4 5 6 7 8 9 <?php if ($_SESSION['MM_Username']==$_GET['pseudo'] ){ echo 'vous pouvez changer votre pass'; } else { echo 'envoyer message a '.$_GET['pseudo'].' '; } ?>
je passe la variable pseudo dans l'url si elle =la variable de session j'affiche les identifiant relatif au membre sinon j'affiche l'option d'envoie de l'url au membres choisi mais si on change la variable d'url a quelque chose comme "gskdg"" on envoie le message a "gskdg" je voudrais savoir comment faire pour vérifier si l'utilisateur existe belle et bien dans la BDD avant d'envoyer un message et merci :)

bonjour,

C'est bizarre mais quelque chose me dis que tu vas devoir interroger ta base de donnée.
Et la facon de le faire va dépendre de ton SGBD.

MySQL, SQL Server, Oracle, Access(ouais je sais la blague, mais ca se fait donc.)
je ne saurais que te renvoyer sur php.net pour trouver les methodes d'acces a ton SGBD et vu que je suis en forme aujourd'hui je te montre a quoi ca ressemble pour MySQL
Code:

1 2 3 4 5 6 7 8 9 10 11 12 <?php $db = mysql_connect("localhost", "mysql_user", "mysql_password"); mysql_select_db("database", $db); $result = mysql_query("SELECT * FROM TABLEPSEUDO WHERE pseudo='".$_GET['pseudo']."'", $db); $num_rows = mysql_num_rows($result); if ($num_rows == 1){ echo "le pseudo existe"; }else{ echo "Le pseudo n'existe pas."; } ?>
Après, c'est quasiment pareil pour tout les SGBD.
Tu peux aussi regarder du coté de PDO

Cordialement

Ouais et sinon exit la sécurisation de la requête et du paramètre GET ?? :roll:

Bref, voici une alternative bien plus satisfaisante en termes de sécurité.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<?php
 
function user_exists (PDO $connection, $login) {
    if (!$connection) {
        throw new InvalidArgumentException("Firt argument is exepected to be a valid PDO instance, null given");
    }
 
    $query = "SELECT COUNT(*) FROM `users` WHERE `login`=:login";
    $stmt  = $connection->prepare($query);
    if (!$stmt->execute(array('login' => $login))) {
        trigger_error("Query Error: $query", E_USER_WARNING);
        return false;
    }
    return (boolean)$stmt->fetchColumn();
}
 
$connection = new PDO('mysql:dbname=testdb;host=127.0.0.1')
$login      = filter_input(INPUT_GET, 'pseudo', FILTER_SANITIZE_STRING);
 
if (user_exists($connection, $login)) {
    echo "L'utilisateur $login existe";
}
else {
    echo "L'utilisateur $login n'existe pas";
}