[PHP] Mettre des sécurités pour un formulaire php

Version imprimable

J'aimerais rajouter des sécurités du genre : ne pas pouvoir s'inscrire si l'adresse mail est déjà utilisé ,ou du genre si les caractère ne sont pas valides...
J'ai essayé plusieurs code , mais à chaque fois ça cassé mon code :c

Le traitement en php :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
 
<?php
/* Afficher les erreurs à l'écran */
ini_set('display_errors', 1);
// connexion à la bdd
 
$bdd = new PDO('mysql:host=localhost;dbname=utilisateur','root','root'); 
 
if(isset($_POST['forminscription'])) {
	if(isset($_POST['mail']) AND isset($_POST['pseudo']) AND isset($_POST['motdepasse'])){
		if(!empty($_POST['mail']) AND !empty($_POST['pseudo']) AND !empty($_POST['motdepasse'])){
 
 
		$mail = trim(htmlspecialchars($_POST['mail']));
		$pseudo = trim(htmlspecialchars($_POST['pseudo']));
		$mdp = trim(htmlspecialchars($_POST['motdepasse']));
			$mdpcrypt = sha1($mdp);
 
 
					$req =$bdd->prepare("INSERT INTO membres (pseudo, mail, motdepasse) VALUES (?,?,?)");
					$req->execute(array($pseudo, $mail , $mdpcrypt));
					if($req){
 
	$message = ' Vous êtes désormais inscris !';
					}
else{
 
	$message = 'Echec de l inscription ';
 
}
 
		}
	}
}
 
?>
<!DOCTYPE html>
<html>
<head>
	<title>Home Sweet Home</title>
	<link rel="stylesheet" href="style.css">
</head>
<body>
	<br></br>
	<p><?php echo $message; ?></p>
	<a href="connexion.html">Se connecter</a><br />
	<a href="index.html">Retour au formulaire d'inscription</a>
</body>
</html>

Le formulaire html :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
<!DOCTYPE html>
<html>
<head>
	<meta charset="utf-8" />
		<title>Inscription</title>
			<link rel="stylesheet" href="style.css">
 
</head>
<body>
  <div id="conteneur">    
    <nav>
    	<ul id="menu">
 
			<li><a href="index.html">Inscription</a></li>
			<li><a href="connexion.html">Se connecter</a></li>
 
		</ul>
    </nav>
  </div>
  <center>
  	<form method="POST" action="traitement.php">
		<h1>Inscription :</h1>
		<br></br>
		<b>
		<fieldset id="formulaire">
 
					<input type="text" name="pseudo" id="pseudo" placeholder="Pseudo" autofocus required /><br />
					<input type="mail" name="mail" id="mail" placeholder="Adresse Mail" required /><br />
					<input type="password" name="motdepasse" id="motdepasse" placeholder="Votre Mot de Passe" required /><br />
					<input type="submit" name ="forminscription" value="S'inscrire" />		
		</fieldset>
		</b>
</center>
<?php if(isset($error)) { echo $error;} ?>
</body>
</html>

16/12/2019, 17h51
Invité
Bonjour,
- on n'utilise htmlspecialchars QUE pour l'affichage (PAS AVANT l'enregistrement en BDD)
- on n'utilise plus sha1(), mais password_hash() / password_verify()
- je ne vois aucun test de l'email *
- on écrit "Accueil", ' Vous êtes désormais inscrit !'
- Que fait le bloc <nav> dans le <head> ?? :cfou:
- on t'a déjà dit que la balise <center> est obsolète...
- ?? (balise )
- ...
* Pour tester si l'email existe, il suffit de faire une requête en BDD sur cet email et verifier qu'elle ne renvoie pas de ligne.
Code:

1 2 if(isset($_POST['mail']) AND isset($_POST['pseudo']) AND isset($_POST['motdepasse'])){ if(!empty($_POST['mail']) AND !empty($_POST['pseudo']) AND !empty($_POST['motdepasse'])){
Pas besoin de 2 tests :
- !empty() suffit, car il inclut isset().
- + remplacer AND/OR par &&/||
CONSEILS :
- apprends d'abord à bien utiliser le HTML(5) : cours et tutoriels pour apprendre le (X)HTML
- Je t'ai mis de nombreux liens : CLIQUE dessus
- évite les insultes/propos vulgaires ** dans tes réponses... Merci
Quand tu auras corrigé TOUT ça, tu auras fait un GRAND pas en programmation.

** Comme tu vois : je ne suis pas rancunier.
16/12/2019, 21h59
theocbr

Merci pour tes réponses , ça m'aide beaucoup , mes profs sont encore à l'ancienne école je crois... et les tutos sur Youtube en parlons pas alors !!
Les fautes d'orthographes j'ai honte xd

Citation:

on n'utilise plus sha1(), mais password_hash() / password_verify()

Pourquoi ?
16/12/2019, 22h59
Invité

Citation:

Envoyé par theocbr

...Pourquoi ?

Ce n'est pas faute de t'avoir dit de cliquer sur les liens........................... :roll:

Citation:

Pourquoi les fonctions traditionnelles de hashage comme md5() et sha1() sont-elles inappropriées aux mots de passe ?

Les algorithmes de hashage comme MD5, SHA1 et SHA256 sont destinés à être rapides et efficaces. Avec les équipements informatiques modernes, il est devenu facile d'attaquer par force brute la sortie de ces algorithmes pour retrouver la chaîne originale.

C'est la raison pour laquelle de nombreux experts en sécurité considèrent ces algorithmes comme faibles et les déconseillent fortement pour hasher un mot de passe utilisateur.

:arrow: PHP: Hashage de mots de passe - Manual

Pour la validation du formulaire, personnellement, j'ai tendance à faire les vérifications dans l'autre sens. De cette façon, on peut afficher des messages d'erreur spécifiques et des validations un peu plus poussées (par exemple, vérifier si le mot de passe n'est pas "toto")

Comme validations un peu plus avancées, tu peux vérifier que le mail est bien un mail avec filter_input et FILTER_VALIDATE_EMAIL (et au passage ça vérifie aussi si le champ est rempli ;))
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 $message = ''; if(!filter_input(INPUT_POST, 'mail', FILTER_VALIDATE_EMAIL)) { $message .= 'Le champ mail doit être renseigné avec un email correct. '; } if(empty($_POST['pseudo'])) { $message .= 'Le pseudo est obligatoire '; } if(empty($_POST['motdepasse'])) { $message .= 'Le mot de passe est obligatoire '; } else if (mb_strlen($_POST['motdepasse']) < 8) { $message .= 'Le mot de passe doit faire au moins 8 caractères '; } if (empty($message)) { // Si il n'y a pas d'erreurs, on fait l'insertion }

18/12/2019, 16h51
double-m

Désolé je sais que c'est un petit HS mais j'ai appris des trucs en lisant ce topic. :mrgreen:

Merci pour les liens et les explications je dormirais moins bête.