Redirection non souhaitée

Version imprimable

Bonjour,
J'ai un formulaire pour un mot de passe perdu.
Si l'adresse email figure en BDD, un email contenant un lien est envoyé.
Ce lien permet de réinitialiser le Mdp.
Tout fonctionne très bien, la modification, la gestion des erreurs etc... par contre, lorsque les MdP ont été modifié, j'ai une redirection au lieu d'avoir mon message.
Voici mon code

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
 
<?php
if(isset($_POST['valider'])) {
	//fonction verification des champs
    $erreur = mdpModif();
    // pas d'erreur
    if (empty($erreur)) {
 
	$id = $_POST['id'];
	$mdp = sha1($_POST['mdp']);
 
		$req = Cnx::connectCnx()->prepare("UPDATE equipe e SET e.mdp=:mdp WHERE id=".$id."");
		$req -> bindParam(':mdp', $mdp);
		$req -> execute();
 
		$req1 = Cnx::connectCnx()->exec("DELETE FROM mdp_lost WHERE id_contact_mdp_lost=".$id."");
 
		header("Refresh:2; URL=../login.php");
		$resultat = "Mot de passe modifié avec succès";
	}
	else {
                echo '<div class="error">';
                foreach ($erreur as $e) {
                echo $e, '<br />';
        }
        echo '</div>';
    }
}
 
 
if (isset($_GET['id']) AND isset($_GET['token'])) {
 
	$id = $_GET['id'];
	$token = $_GET['token'];
 
	$req = Cnx::connectCnx()->prepare("SELECT id_contact_mdp_lost, token_mdp_lost FROM mdp_lost WHERE id_contact_mdp_lost=:id_contact_mdp_lost AND token_mdp_lost=:token_mdp_lost");
	$req->execute(array('id_contact_mdp_lost' => $id, 'token_mdp_lost' => $token)); 
		if ($result = $req->fetch(PDO::FETCH_OBJ)) {
?>
					<FORM action="activ_mdp.php?id=<?php echo $id; ?>&token=<?php echo $token; ?>" method="POST">
						<input type="password" name="mdp" placeholder="Nouveau Mot de passe">
						<input type="password" name="mdp2" placeholder="Confirmez le nouveau Mot de passe">
						<input type="hidden" name="id" value="<?php echo $id; ?>">
						<input type="submit" name="valider" value="Envoyer">
					</FORM>				
<?php				
		}
		else { 
			header("Location: ../login.php"); /* la redirection se fait à ce niveau ci*/
		}
}
else {
	header("Location: ../login.php");
	}
?>

Une idée svp?

20/09/2014, 16h12
sabotage

Code:

refresh:2

c'est 2 millisecondes.
par ailleurs ta requête n'est pas sécurisée puisque tu injectes dans $id sans aucun contrôle, il devrait être un argument dans la préparation.
20/09/2014, 16h19
jimmo

Comment ça?
Je ne suis pas sur d'avoir compris

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
<?php
//pour raison de sécurité, il me parait plus sage de passer par une session que par get ou hidden post (qui se voit dans le code source !)
session_start();
if (isset($_SESSION['id']) AND isset($_SESSION['token'])) {
	$form='<form action="activ_mdp.php" method="POST">
			<input type="password" name="mdp" placeholder="Nouveau Mot de passe">
			<input type="password" name="mdp2" placeholder="Confirmez le nouveau Mot de passe">
			<input type="submit" name="valider" value="Envoyer">
		</form>';
	if(isset($_POST['valider'])) {
		//fonction verification des champs
		$erreur = mdpModif();
		// pas d'erreur
		if (empty($erreur)) {
			$mdp = sha1($_POST['mdp']);
			$req = Cnx::connectCnx()->prepare('UPDATE equipe e SET e.mdp=:mdp WHERE id='.$_SESSION['id']);
			$req -> bindParam(':mdp', $mdp);
			$req -> execute();
			$req1 = Cnx::connectCnx()->exec('DELETE FROM mdp_lost WHERE id_contact_mdp_lost='.$_SESSION['id']);
 
			header("Refresh:2; URL=../login.php");
			$resultat = "Mot de passe modifié avec succès";
		}
		else {
			echo '<div class="error">';
			foreach ($erreur as $e) {
				echo $e, '<br />';
			}
			echo '</div>';
		}
	}
	$req = Cnx::connectCnx()->prepare("SELECT id_contact_mdp_lost, token_mdp_lost FROM mdp_lost WHERE id_contact_mdp_lost=:id_contact_mdp_lost AND token_mdp_lost=:token_mdp_lost");
	$req->execute(array('id_contact_mdp_lost' => $_SESSION['id'], 'token_mdp_lost' => $_SESSION['token'])); 
	if ($result = $req->fetch(PDO::FETCH_OBJ)) {
		echo $form;
	}
	else { 
		header("Location: ../login.php"); 
	}
}
else { 
	header("Location: ../login.php"); 
}
?>

20/09/2014, 16h31
jimmo

Salut Dendrite,

Je suis d'accord avec toi, mais en fait cette page apparaît suite à un email envoyé au membre pour qu'il puisse redéfinir son mot de passe.
Donc Session n'est pas possible me semble t il.....
22/09/2014, 13h46
Celira
Ce que dit sabotage, c'est que sur ces lignes :
Code:

1 2 header("Refresh:2; URL=../login.php"); $resultat = "Mot de passe modifié avec succès";
Tu rediriges vers login.php au bout de 2 millisecondes. Donc forcément, tu n'as pas le temps de voir ce qui s'affiche avant la redirection.
22/09/2014, 15h12
sabotage

En fait je crois que je me suis trompé ;)
En javascript le refresh est en millisecondes mais dans le header, c'est en seconde.
:mrgreen:
22/09/2014, 16h13
Celira

De toute façon, la variable $resultat n'est affichée nulle part. Donc qu'on attende 2 secondes ou 2 siècles, le message ne s'affichera jamais.