PHP et Session

Version imprimable

PHP et Session

Bonjour,

j'aimerais mettre en place un système de Session pour une partie admin de mon site mais j'ai quelques soucis...

Tout d'abord voici le code de la page d'index :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
<?php
session_start();
?>
<html>
 
<?php
Require('../../fcts/connexion.php');
?>
 
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
 
<script type="text/javascript" src="../../js/fonctions.js"></script>
 
<title></title>
</head>
 
<link rel="stylesheet" type="text/css" href="../../css/style_admin.css">
 
<body>
 
<div class="accueil_admin">
 
<div id="bandeau_admin">
<fieldset style="background-color:orange;border-color:orange;">
<center>
<pre style="font-weight:bold;color:red;font-size:28;">/!\  ADMIN ONLY  /!\</pre>
</center>
</fieldset>
</div>
 
 
<div id="separateur">
</div>
 
<!-- bloc menu -->
<div id="menu_admin">
	<table align="center"><tr><td>
	<dl>
		<dt onmouseover="javascript:montre();"><a href="index_admin.php?section=textes">Modification des textes</a></dt>
	</dl>
	<dl>
		<dt onmouseover="javascript:montre();"><a href="index_admin.php?section=domaines">Gestion des domaines</a></dt>
	</dl>
	<dl>			
		<dt onmouseover="javascript:montre('smenu1');">Gestion des r&eacute;alisations</dt>
		<dd id="smenu1">
			<ul onmouseout="javascript:montre();">
				<?php
				connexion();
 
				$result = request('SELECT id_domaine, nom, description FROM domaines');
 
				while($row = mysql_fetch_row($result)){
					$id = $row[0];
					$nom = $row[1];
					$desc = $row[2];
					echo '<li><a href="index_admin.php?section=realisations&iddomaine='.$id.'">> '.$nom.'</a></li>';
				};
 
				// Deconnexion de la base de donnees
				close_connexion();
				?>
			</ul>
		</dd>
	</dl>
	</td></tr></table>
</div>
 
<!-- bloc corps -->
<div style="border:1px solid black;" id="corps_admin">
 
<br><br>
<?php 
 
if(isset($_SESSION['logged'])){
	if (isset($_GET ["section"])) include($_GET["section"].".php");
}
else{
	include("./login.php");
}
?>
 
</div>
 
</div>
 
</body>
 
</html>

Je met donc au départ le session_start() pour démarrer une session quand un utilisateur vient sur la page.
Ensuite, vers le bas du code je regarde si ma variable $_SESSION['logged'] est déclaré ou pas. Si oui j'accède à une page avec le $_GET["section"].".php" sinon j'affiche toujours ma page de login.

Voici maintenant ma page de login :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
<body>
 
<?php
Require_once('../../fcts/connexion.php');
Require('../../fcts/fonctions_login.php'); 
?>
 
<div>
<table align="center" id="login" width="30%">
 
	<?php
	if(!isset($_SESSION['logged'])){
		echo '<tr>';
		echo 	'<th colspan="2" style="border-bottom:1px solid black;">Veuillez vous enregistrer !</th>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td colspan="2"><br></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td>Login : </td>';
		echo 	'<td><input id="log" type="text" width="50px" /></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td>Mot de passe : </td>';
		echo 	'<td><input id="pwd" type="text" width="50px" /></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td align="center" colspan="2"><input type="button" value="GO !" onclick="javascript:Log();"/></th>';
		echo '</tr>';
	}
	else{
		if($_SESSION['logged'] == "OK"){
			echo '<tr>';
			echo 	'<td style="border-bottom:1px solid black;">Enregistrement r&eacute;ussi !</td>';
			echo '</tr>';
		}
		else{
			echo '<tr>';
			echo 	'<td style="border-bottom:1px solid black;">Enregistrement &eacute;chou&eacute; !</td>';
			echo '</tr>';
		}
	}
	?>
 
</table>
</div>
 
</body>

Ici, on peut voir la mire de connexion et le bouton qui lance la fonction javascript "Log();" suivante :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
function Log(){
 
	var login = document.getElementById("log").value;
	var pwd = document.getElementById("pwd").value;
 
	var xhr_object = getXhr();
 
	xhr_object.onreadystatechange = function() { alert_ajax(xhr_object); };
 
	xhr_object.open("POST", "./login.php", true);
	xhr_object.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
	// --- ICI TU PASSE TES ARGUMENTS AU SCRIPT :
	var data = "fonction=log&log="+login+"&pwd="+pwd;
 
	alert(data);
 
	xhr_object.send(data);
 
	var chaine=window.location.href;
	var reg=new RegExp("\\?", "g");
	var tableau=chaine.split(reg);
 
	sleep(1500);
 
	window.location.href = tableau[0] + "?section=login";
}

Par le alert je vois que mes variables dont bien renseignées.

Dans ma page de login, j'inclus en haut un fichier "fonctions_login.php" dont le code est le suivant :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php
if(isset($_POST["fonction"]))
{
	if($_POST["fonction"] == "log")
	{
		connexion();
 
		$result = request('SELECT id_connexion FROM administration WHERE login = "'.$_POST["log"].'" AND password = "'.$_POST["pwd"].'"');
 
		if(mysql_fetch_row($result)){
			echo 'oui';
			$_SESSION['logged'] = "OK" ;
		}
		else{
			$_SESSION['logged'] = "NOK" ;
			echo 'non';
		}
 
		close_connexion();
	}
}
?>

Dans la fonction javascript, les instructions suivantes :

var data = "fonction=log&log="+login+"&pwd="+pwd;
xhr_object.send(data);

devraient avoir pour effet de me permettre de récupérer les valeurs $_POST["fonction"] !
Cette variable devrait contenir la valeur "log", donc cela devrait déclencher le bout de code PHP de mon fichier "fonctions_login.php" !

Et au rechargement de ma page, $_SESSION['logged'] devrait être déclaré, alors ma page login.php devrait faire apparaître soit ça si dans la variable il y a la valeur OK :

Code:

1
2
3
4
5
if($_SESSION['logged'] == "OK"){
			echo '<tr>';
			echo 	'<td style="border-bottom:1px solid black;">Enregistrement r&eacute;ussi !</td>';
			echo '</tr>';
		}

et sinon ça :

Code:

1
2
3
4
5
else{
			echo '<tr>';
			echo 	'<td style="border-bottom:1px solid black;">Enregistrement &eacute;chou&eacute; !</td>';
			echo '</tr>';
		}

Mon problème c'est que c'est ma mire de connexion qui revient tout le temps ... J'en conclue donc que ma variable de session $_SESSION['logged'] ne retourne rien ...

Et je ne comprend pas pourquoi ! Si quelqu'un arrive à déchiffrer mon merdier ?! lol je lui en serais très reconnaissant ....

Cordialement,
Bizoo

Quel jeu de piste !

Salut,

Sacré jeu de piste... ton login est une vraie chasse au trésor ! 8O
A mon avis tu fais quelques erreurs que je te soumets:
l'enchainement des divers fichiers est TRES BANCAL
Tu commences par faire un
Code:

1 2 include("./login.php");
et ton code HTML de login.php commence par une balise BODY qui prend donc place dans une DIV: bof, bof
plus génant:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 function Log(){ ... var xhr_object = getXhr(); xhr_object.onreadystatechange = function() { alert_ajax(xhr_object); }; xhr_object.open("POST", "./login.php", true); xhr_object.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); ... xhr_object.send(data); ... sleep(1500); window.location.href = tableau[0] + "?section=login"; }
Donc tu envoies tes données, tu attends un peu et... tu recharges la page ! Que se passe t il si ta requête AJAX n'a pas fini de s'exécuter (en local tu ne ressentira peut-être pas, mais ton application déployée sur le net : :aie:)
Autre point: ta requete AJAX appelle login.php uniquement pour le plaisir ;) d'affecter ta variable de session $_SESSION['logged']. Le souci c'est que quand ta page login.php est exécutée elle ne déclenche pas de session_start()... Donc tu perds le contexte de la session...
Et pourquoi faire de l'AJAX ici ? C'est incroyable comme on veut toujours faire de l'AJAX :cry: . Ne le prends pas pour toi, mais j'ai l'impression que quand on a un souci on pense que faire de l'AJAX va le régler !:mouarf:

Pour éviter ces écueils, pourquoi ne remplaces tu pas ton
Code:

1 2 include("./login.php");
de ta page principale par un simple formulaire qui poste les données vers ta page de vérification du login qui, pour faire simple, envoie un header de redirection vers la page principale ?
Code:

1 2 3 4 5 6 7 8 9 Page Principale -- code commun -----section affichée (si loggé) ou -----formulaire de login (si pas loggé) | ->POST traitement_login.php (mise à jour de $_SESSION['logged']) | | Page principale <-------------- header("Location: pageprincipale.php");
Pas d'AJAX superflu, du bon vieux php/html.
Tu disposes déjà de tout le code (hormis la balise <form ...>), reste juste à le réorganiser dans les bons fichiers.

Et en passant, ta requête:
Code:

1 2 3 4 5 6 $result = request('SELECT id_connexion FROM administration WHERE login = "'.$_POST["log"].'" AND password = "'.$_POST["pwd"].'"'); if(mysql_fetch_row($result)){ echo 'oui'; $_SESSION['logged'] = "OK" ...
est ouvert à une faille de sécurité qu'on appelle SQL Injection et qui permet à quiconque de se connecter à ton panneau d'administration. Mais c'est un autre domaine.

ERE

26/03/2009, 22h57
Bizoo

Merci de toutes ces indications ! Il est tard je vais me coucher mais je verrais tout ça ce week end !!!

Par contre si tu pouvais m'en dire plus sur cette faille de sécurité ?!

PS: j'ai l'intention de crypter login et mot de passe à l'envoie et dans la base dès que tout ça marchera ! MD5()....
26/03/2009, 23h19
emmanuel.remy

Citation:

PS: j'ai l'intention de crypter login et mot de passe à l'envoie et dans la base dès que tout ça marchera ! MD5()....

Stocker en base le MD5 du mot de passe est une très bonne solution qui règlera une grosse partie de la sécurité. Pour le login cela n'a a priori pas trop d'intérêt.
Et pour info, un MD5 n'est pas un cryptage mais un hash, et n'est pas (en théorie) infaillible.

ERE

Bon alors j'ai essayé quelques modifications et ça avance ! mais pas totalement OK ... :cry:

Maintenant j'ai ça :

mon index_admin.php :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
<?php
session_start();
?>
<html>
 
<?php
Require('../../fcts/connexion.php');
?>
 
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
 
<script type="text/javascript" src="../../js/fonctions.js"></script>
 
 
<title></title>
</head>
 
<link rel="stylesheet" type="text/css" href="../../css/style_admin.css">
 
<body>
 
<div class="accueil_admin">
 
 
<div id="bandeau_admin">
<fieldset style="background-color:orange;border-color:orange;">
<center>
<pre style="font-weight:bold;color:red;font-size:28;">/!\  ADMIN ONLY  /!\</pre>
</center>
</fieldset>
</div>
 
 
<div id="separateur">
</div>
 
<!-- bloc menu -->
<div id="menu_admin">
	<table align="center"><tr><td>
	<dl>
		<dt onmouseover="javascript:montre();"><a href="index_admin.php?section=textes">Modification des textes</a></dt>
	</dl>
	<dl>
		<dt onmouseover="javascript:montre();"><a href="index_admin.php?section=domaines">Gestion des domaines</a></dt>
	</dl>
	<dl>			
		<dt onmouseover="javascript:montre('smenu1');">Gestion des r&eacute;alisations</dt>
		<dd id="smenu1">
			<ul onmouseout="javascript:montre();">
				<?php
				connexion();
 
				$result = request('SELECT id_domaine, nom, description FROM domaines');
 
				while($row = mysql_fetch_row($result)){
					$id = $row[0];
					$nom = $row[1];
					$desc = $row[2];
					echo '<li><a href="index_admin.php?section=realisations&iddomaine='.$id.'">> '.$nom.'</a></li>';
				};
 
				// Deconnexion de la base de donnees
				close_connexion();
				?>
			</ul>
		</dd>
	</dl>
	</td></tr></table>
</div>
 
 
<!-- bloc corps -->
<div style="border:1px solid black;" id="corps_admin">
 
<br><br>
<?php 
 
/*if (isset($_GET ["section"])) include($_GET["section"].".php");*/
if(isset($_SESSION['logged'])){
	if (isset($_GET ["section"])) include($_GET["section"].".php");
}
else{
	include("./login.php");
}
?>
 
 
</div>
 
 
 
 
</div>
 
</body>
 
</html>

ma page login.php :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
<?php
Require_once('../../fcts/connexion.php');
?>
 
<div>
<table align="center" id="login" width="30%">
<tr><td>
	<?php
	if(!isset($_SESSION['logged'])){
		echo '<form action="../../fcts/fonctions_login.php" method="post">';
		echo '<table><tr>';
		echo 	'<th colspan="2" style="border-bottom:1px solid black;">Veuillez vous enregistrer !</th>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td colspan="2"><br></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td>Login : </td>';
		echo 	'<td><input name="log" type="text" width="50px" /></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td>Mot de passe : </td>';
		echo 	'<td><input name="pwd" type="text" width="50px" /></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td align="center" colspan="2"><input type="submit" value="GO !"/></th>';
		echo '</tr></table>';
		echo '</form>';
	}
	else{
		if($_SESSION['logged'] == "OK"){
			echo 	'<u>Enregistrement r&eacute;ussi !</u>';
		}
		else if($_SESSION['logged'] == "NOK"){
			echo 	'<u>Enregistrement &eacute;chou&eacute; !</u>';
		}
		else{
			echo 	'<u>Variable vide ?</u>';
		}
	}
	?>
</td></tr>
</table>
</div>

et ma fonction php fonctions_login.php :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php
Require_once('./connexion.php');
 
connexion();
 
$result = request('SELECT id_connexion FROM administration WHERE login = "'.$_POST["log"].'" AND password = "'.$_POST["pwd"].'"');
 
if(mysql_fetch_row($result)){
	echo 'oui';
	$_SESSION['logged'] = "OK" ;
}
else{
	$_SESSION['logged'] = "NOK" ;
	echo 'non';
}
 
close_connexion();
 
 
?>

Sans placer le header, le comportement est le suivant :

si je rentre un mauvais login ou mdp j'ai un non sur ma page blanche et si je rentre tout conforme j'ai un oui ! Jusque là c'est plutôt réjouissant !!!

Mon problème vient lorsque je place un header ... avec celui ci :

Code:

1
2
 
header("Location: ../src/admin/index_admin.php");

ou celui ci :

Code:

header("Location: http://127.0.0.1/veyrandon/src/admin/index_admin.php");

j'ai le comportement suivant :

quoi que je rentre comme identifiants, bon ou mauvais, je suis de retour sur la mire de connexion ... Comme si en revenant sur ma page admin_index.php, ma variable de session "logged" s'était détruite .....

Une idée mon sauveur ?! ;)

Je penserais peut-être à un problème de conf de session qui ferais qu'elle ce détruit lorsqu'elle est démarrée (timeout trop petit) mais je ne connais pas trop la conf d'une session...

Bizoo

27/03/2009, 10h12
emmanuel.remy

Salut,

Il te manque un session_start() dans fonctions_login.php ;)

ERE
27/03/2009, 10h31
Bizoo

C'est ok tu m'a mis sur la bonne voie car ce n'est pas dans login.php qu'il fallait mettre le session_start() mais dans ma fonction php "fonctions_login.php"

En tout cas je te remercie grandement de ton aide très précieuse !!!

Bizoo

edit:Ah tu as édité ... lol :P