authentification d'un compte en PHP

Version imprimable

Bonjour,
j'ai un soucie avec mon code php.
je m'explique : j'ai une table client qui contient 2 données
id : 1 nom : xxx
id : 2 nom : yyy

lors de l'authentification si je fais rentrer xxx ====> sa marche
mais yyy =====> sa me renvoie mon dernier ECHO

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
<?php
session_start();
 
$loginOK = false; // cf Astuce
 
//connection a la base de données
try
	{
    $pdo_options[PDO::ATTR_ERRMODE] = PDO::ERRMODE_EXCEPTION;
    $bdd = new PDO('mysql:host=localhost;dbname=test', 'root', '', $pdo_options);
 
    // Insertion du message à l'aide d'une requête préparée
    $reponse = $bdd->query('SELECT nom FROM client ');
    $donnees = $reponse->fetch(PDO::FETCH_ASSOC);       
	}
catch(Exception $e)
	{
    die('Erreur : '.$e->getMessage());
	}
 
 if ( isset($_POST) && (!empty($_POST['Utilisateur'])))
{
// On vérifie que son login et mdp sont corrects
 
 
if ($_POST['Utilisateur'] == $donnees['nom'] )
	{
$loginOK = true;
    }
if ($loginOK)
	 {
	$_SESSION['nom'] = $donnees['nom'];
	 sleep(2);
	header ('location: main.php');
	}
else
   {
   echo ' Une erreur est survenue, veuillez réessayer !'; 
echo ' cliquez "<a href="index.php"><strong>ICI</strong></a>" pour revenir a la page d\'authentification';
   	}
 
 
}
 
 
?>

Tu lis le premier enregistrement de la table donc forcemment ...

D'ailleurs c'est amusant car tu as un commentaire qui indique de faire une requête préparée mais tu ne le fais pas
Code:

1 2 3 4 5 6 7 8 9 if ( isset($_POST) && (!empty($_POST['Utilisateur']))) { $sth= $bdd->prepare('SELECT nom FROM client WHERE nom = :nom'); $sth->execute(array(':nom'=> $_POST['Utilisateur'])); if ($donnees = $reponse->fetch(PDO::FETCH_ASSOC)) { $_SESSION['nom'] = $donnees['nom']; header ('location: main.php'); }

14/04/2014, 12h29
samybelarbi

d'accord merci !!! j'ai compris

je pourrais aussi utiliser sa au lieu de la fonction prepare et exec ?

Code:

$reponse = $bdd->query('SELECT Nom FROM client WHERE Nom = "'.$_POST['Nom'].'");
14/04/2014, 12h30
sabotage

Non car ta requête serait vulnérable aux injections.
14/04/2014, 12h44
samybelarbi

d'accord je comprends
merciii

ps : je viens de tester et sa marche parfaitement.

j'ai une autre petite question Vincent
Si on a 2 paramètres Nom et password ? on doit faire 2 exécutions ???
14/04/2014, 12h46
sabotage

Non, on met les deux dans le test :

Code:

$sth= $bdd->prepare('SELECT nom FROM client WHERE nom = :nom AND password = :password');

on fait sa pour l'execute aussi ?

Code:

1
2
3
 
$sth= $bdd->prepare('SELECT nom FROM client WHERE nom = :nom, pass = :pass');
$sth->execute(array(':nom', ':pass'=> $_POST['Utilisateur'], $_POST['pass'));

j'ai cherché sur le site officiel de php j'ai trouvé !!!
donc voici la syntaxe exact
encore merci Vincent
:D
Code:

1 2 $sth= $bdd->prepare('SELECT Nom,Password FROM client WHERE Nom = :Nom AND Password = :Password'); $sth->execute(array(':Nom'=>$_POST['Nom'],':Password'=>$_POST['Password']));