authentification avec une variable de session

Version imprimable

Bonjour,

sur ma page d'accueil, j'ai un formulaire pour l'authentification dont l'action positionne une variable de session ($_SESSION['auth']) à true si les identifiants sont corrects, et si cette variable est à true, au lieu d'afficher le formulaire, j'affiche le site sur la page d'accueil (index.php) :

index.php :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 
        echo "debug auth (index):".$_SESSION["auth"]."<br/>";
	if ( ! $_SESSION["auth"])
	{
		?>
		<form action="page/authenticate.php" method="get">
                <table style="height:68px;"><tr>
                <div>
		...
                <td><input style="background:transparent;border:none;" type="text" size="30" value="<?php echo (isset($_COOKIE['user']))?$_COOKIE['user']:'';?>"
                name="login2" /></td></tr>
 
               <td><input style="background:transparent;border:none;" type="password" size="30" value="<?php echo (isset($_COOKIE['pwd']))?$_COOKIE  
               ['pwd']:'';?>" name="pwd2" /></td></tr></table>
               <table>
               <tr style="height:40px;">
               <td>
               <input style="background:transparent;border:none;width:80px" type="submit"   name="login" value=""/></td></tr></table>
 
	       </div>
	       </form>
	<?php
 
	}
 
else {
// affichage du site
}

authenticate.php :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
function authentification()
{
		global $bdd;
 
		$auth=false;
 
		$sql = 'select * from `users`';
 
		$qid = $bdd->prepare($sql);
		$qid->execute();
		while ($row=$qid->fetch(PDO::FETCH_ASSOC) ) {
				$usr = $row['user']; 
				$password = $row['password'];  
				if (($usr == $_POST['login2']) && ($password == $_POST['pwd2'])) {
					$auth = true;
 
					$_SESSION['user']=$usr;
					$_SESSION['pass']=$password;
					$temps = 365*24*3600;
					if (isset($_POST['remember'])) {
						setcookie ("user",$usr, time() + $temps);
						setcookie ("pwd",$password, time() + $temps);
					}
					else {
						setcookie ("user","", time() + $temps);
						setcookie ("pwd","", time() + $temps);
					}						
				}
		  }
	$_SESSION['auth']=$auth;
 
 return $auth;
}
 $auth=authentification();
 header ("Location: $_SERVER[HTTP_REFERER]" );
 exit(); ?>

Mon souci, c'est que même si l'action met la variable de session à true, quand on revient dans index.php et qu'on la teste, elle est encore à false. Or même si c'est normal de la voir encore à false dans la page qui vient de la mettre à true, dans une autre page, elle devrait être vue à true, non ? Où est le bug ?

02/11/2016, 17h58
phantasie71

Bonjour,
Avez-vous pensé à mettre "session_start();" au début de votre fichier ?

Et oui ; début du fichier authenticate.php :

Code:

1
2
3
4
5
 
error_reporting(E_ALL ^ (E_NOTICE|E_WARNING|E_DEPRECATED));
header('Content-type: text/html; charset=UTF-8');
session_start(); 
...

02/11/2016, 18h29
sabotage

Tu devrais utiliser var_dump() pour voir ce que contient ta variable.
Un echo ne peut pas te dire si elle vaut FALSE.
Si ta variable vaut FALSE c'est que quelque chose dans le code la met explicitement à FALSE, si elle n'est pas défini, c'est plutôt que tu perds ta session etc.

Au passage, mettre le mot de passe en session et encore pire, dans un cookie, ça n'est pas une bonne idée.
02/11/2016, 19h01
laurentSc

OK, mais j'ai fait un mécanisme "remember" (si l'utilisateur fait ce choix, quand il se reconnecte, ses identifiants sont rappelés). Cela existe sur de nombreux sites, mais si on ne passe pas par les cookies, comment faire ?

Au passage, j'ai trouvé pourquoi, l'identification ne marchait pas.
02/11/2016, 19h33
sabotage

L'idée consiste à avoir une table séparée pour les authentifications permanentes.
Cette table contient le login et une jeton qui est l'équivalent du mot de passe sauf qu'il s'agit d'une chaine aléatoire.

- Quand l'utilisateur se connecte en cochant "se souvenir de moi" tu génères un jeton pour lui ; le couple login/jeton va en cookie ; la base de données contient le login et la version hashée du jeton.
- Quand l'utilisateur vient sur le site avec un cookie de connexion, tu vérifies sa validité :
- s'il est bon, tu lui génères un nouveau jeton ; cela limite l'utilisation d'un cookie volé.
- s'il est faux, tu supprimes les jetons existant dans la base de données, l'utilisateur devra resaisir son mot de passe; il peut aussi être prévenu d'une tentative de connexion.

Attention, l'utilisateur peut avoir plusieurs cookie s'il se connecte depuis plusieurs machines.

Tu peux en lire plus sur le sujet en anglais :
http://jaspan.com/improved_persisten..._best_practice
https://paragonie.com/blog/2015/04/s...rm-persistence
03/11/2016, 11h36
laurentSc

Merci pour cette info ; je m'y pencherai plus tard. Pour l'instant, j'ai juste supprimé le mécanisme "se souvenir de moi".