[Sécurité] Script de login / pass avec sessions

Hello,
J'ai un probléme sur la gestion des sessions.
J'ai une base sql composée de cette sorte :

Code:

---

1 2 3

Table membres : username -> varchar password -> varchar

---

Dedans, j'ai inseré juste deux entrées : test/test
ensuite, je peux prendre les informations suivantes :

J'ai une page de connection en html suivante :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12

<html> <head> <title>login.html</title> </head> <body> <form name="login" method="post" action="verif_auth.php"> Nom d'utilisateur:<input type="text" name="user_name"><br> Mot de passe:<input type="password" name="password"><br> <input type="submit" value="Envoyer"> </form> </body> </html>

---

Je ne fait juste un post sur verif_auth.php
Jusque la, tout va bien.
Maintenant je tente de récuperer les données suivantes :

verif_auth.php :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

<?php $user_name = $_POST['user_name']; $password = $_POST['password']; session_start();   $db = mysql_connect('localhost', 'root', '') or die('Erreur de connexion'.mysql_error()); mysql_select_db('base', $db) or die(mysql_error());   $query = "SELECT * FROM membres WHERE user_name=''.$user_name.'' AND password=''.$user_name.''";   $result = mysql_query($query, $db); $affected_rows = mysql_num_rows($result);   if($affected_rows == 1) { print 'Vous êtes authentifié';   $_SESSION 'username' = $user_name; } else { print 'Accès refusé'; } ?>

---

Mais ... j'ai une page blanche. Je suis allé chercher un peu partout sur le net, mais je n'arrive pas a mettre le doigt sur cette simple erreur.
:(
merci de votre aide

et si tu fais un echo($query)??!! tu te rendras compte que ton code ne fonctionnera jamais

essaye plutot ca :

Code:

---

1 2	$user_name = "'".$_POST['user_name']."'"; $password = "'".$_POST['password']."'";

---

et surtout ca

Code:

---

$query = "SELECT * FROM membres WHERE user_name=$user_name AND password=$password";

---

Salut

Et puis ceci n'est pas trés fonctionnel :

Table membres :
username -> varchar
password -> varchar

Code:

---

1 2	$query = "SELECT * FROM membres WHERE user_name=''.$user_name.'' AND password=''.$user_name.''";

---

c vrai, j'avais pas fais attention à ca aussi.
en fait je lui avais corrigé une erreur sans le signaler

Code:

---

$query = "SELECT * FROM membres WHERE user_name=''.$user_name.'' AND password=''.$user_name.''";

---

bon dans ce cas ta requete pourra etre

Code:

---

$query = "SELECT * FROM membres WHERE username=$user_name AND password=$password"

---

sans oublié les

Code:

---

1 2	$user_name = "'".$_POST['user_name']."'"; $password = "'".$_POST['password']."'";

---

un conseil de ma part : en cas de problème, essaye tjs d'afficher tes requetes, de voir ce qui ne va pas, et n'hesite pas de les exécuter à la main sur la base de données. Comme ca tu pourra identifier de la partie qui deconne car c pas tjs php (parfois c mysql, parfois php mais tres tres souvent (99,99%) nous meme).

Citation:

---

Nom d'utilisateur:<input type="text" name="user_name"><br>

---

mmmh, l'apostrophe devant utilisateur peut probleme probleme, non ?

Code:

---

1 2	$user_name = "'".$_POST['user_name']."'"; $password = "'".$_POST['password']."'";

---

je comprend pas l'intêret de mettre une quote "' et '" à la fin.

Normalement une simple déclaration tel que

Code:

---

$user_name = $_POST['user_name'];

---

devrai pas poser de problème

Citation:

---

Normalement une simple déclaration tel que
Code :
$user_name = $_POST['user_name'];devrai pas poser de problème

---

c'est malheureusement toute la différence entre devrait et va pas poser de problème. Moi je dis que ca va poser problème : tu n'as qu'à essayer un truc genre

Code:

---

insert into maTable(var_varchar) values (toto);

---

et tu verras jeune homme que mysql va gueuler un bon coup avec un truc genre :

Citation:

---

Unknown column 'toto' in 'field list'

---

et il ne va pas la fermer que si tu fais

Code:

---

insert into maTable(var_varchar) values ('toto');

---

d'où mes apostrophes!!!

mmmh, a force de trifouiller le code, je me suis fait avoir par moi même.
En fait, je vient de tester, il renvoit bien les bonnes valeurs du post, mais j'ai toujours une page blanche :(

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

<?php session_start(); $user_name = "'".$_POST['user_name']."'"; $password = "'".$_POST['password']."'";   include('mysql.inc.php'); mysql_select_db('base', $db) or die(mysql_error());     $query = "SELECT * FROM membres WHERE user_name=$user_name AND password=$password"; echo($query);     $result = mysql_query($query, $db); $affected_rows = mysql_num_rows($result);     if($affected_rows == 1) { print 'Vous êtes authentifié';   $_SESSION 'user_name' = $user_name; } else { print 'Accès refusé'; }   ?>

---

Sachant que $db provient de mon include.
La base est maintenant comme ça :

Code:

---

1 2 3

user_name varchar(15) password varchar(15)

---

Cependant, j'ai isolé le probléme. Il survient lors de la boucle du fond ( si je commente, mon echo passe bien ).

Avec le code commenté de cette sorte :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

<?php session_start(); $user_name = "'".$_POST['user_name']."'"; $password = "'".$_POST['password']."'";   include('mysql.inc.php'); mysql_select_db('iforco', $db) or die(mysql_error());     $query = "SELECT * FROM membres WHERE user_name=$user_name AND password=$password"; echo($query);     $result = mysql_query($query, $db); $affected_rows = mysql_num_rows($result); echo '<br>'; echo($result); echo '<br>'; echo($affected_rows);   /* if($affected_rows == 1)  {  print 'Vous êtes authentifié';   $_SESSION 'user_name' = $user_name;   }   else {  print 'Accès refusé';  } */ ?>

---

J'obtient ceci comme réponse :

Citation:

---

SELECT * FROM membres WHERE user_name='test' AND password='test'
Resource id #4
1

---

Je comprend pas le ressource id # 4
par contre, cela devrai fonctionner puisque avec test/test j'ai bien comme sortie 1 ... et 0 avec un mauvais pass.

Merci de toute votre attention et conseil ! !
Edit, je pense que cela vient de la session, je suis allé voir sur le site de php5 pour la documentation, mais je n'ai pu trouver d'informations concluante sur mon probléme :(

MMmh, je vais finir par en faire plein des requétes sur ce pauvre serveur sql avec tout les méssage que je vous laisse.
L'érreur vient bien de

Code:

---

$_SESSION 'user_name' = $user_name;

---

pourtant au début de mon code j'ai

Code:

---

session_start();

---

Est ce que cela pourrai venir du fait que $user_name retourne 'test' et non test ?

tu sais ce qui est le plus difficile quand on repond à un message de ce genre : c'est quand celui qui pose la question ne sait pas ce qu'il cherche!

je m'explique : à quoi ca peut te servir de faire quelque chose du genre

Code:

---

echo($result);

---

absolument rien, du coup je vais pas commenter ta question

Citation:

---

Je comprend pas le ressource id # 4

---

revenons aux choses serieuses : quand tu executes

Code:

---

echo($affected_rows);

---

il t'affiche 1, c'est parfait ca veut dire que ca fonctionne, il est où le problème:arf:

en voyant ca :

Code:

---

$_SESSION 'user_name' = $user_name;

---

je me dis pour l'amour du ciel faites une petite recherche sur internet avant de poster sur ce forum

Salut,
en fait, je me suis répondu a la question pour le result sql, je suis partit trops vite en besogne.
Pour le script, il fonctionne, mais la session ne marche pas.
J'ai rajouté :
$utilisateur = "".$_POST['user_name']."";

et
$_SESSION 'utilisateur' = $utilisateur;
car en fait, je voudrai que utilisateur soit égal a son nom ( donc test ) en l'occurence.

Je suis allé matter la doc sur les sessions, mais je comprend pas pourquoi je ne peux pas stoker une variable entiére.

Code:

---

1 2 3

http://www.php.net/manual/fr/function.session-start.php $_SESSION['time'] = time();

---

Code:

---

$_SESSION 'utilisateur' = $utilisateur;

---

tu es sur que t'as lu un truc sur les sessions?!
bon je repondrai à ton message mais apres je laisse la main aux autres

Citation:

---

$_SESSION['time'] = time();

---

ce bout de code fonctionne tres bien et je ne sais pas qui t'as dis que les sessions ne peuvent stocker un entier?!
par contre remplace ce truc

Code:

---

$_SESSION 'utilisateur' = $utilisateur;

---

par ca

Code:

---

$_SESSION['utilisateur'] = $utilisateur;

---

une derniere chose quand je t'ai dis de mettre

Code:

---

$user_name = "'".$_POST['user_name']."'";

---

je repondais encore à ton problème de requete et pas les sessions

bon courage

donc

Code:

---

$_SESSION 'user_name' = $user_name;

---

devrait s'ecrire :

Code:

---

$_SESSION['user_name']= $user_name;

---

rien de bien compliqué

Edit : Me suis fais prendre de vitesse (le temps de lire ce topic un peu tout zazimut...lol)

ça roule ! Je vous remercie beaucoup !
Je vais faire plus attention a la syntaxe la prochaine fois.
merci !!