Script d'authentification en PHP

Version imprimable

Bonsoir,

Tout d'abord bonne fêtes à tous. :)

La partie inscription étant terminé, je m'attaque donc à la partie authentification.

Voilà dans un premier temps ce que j'ai fais.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
<?php 
$erreur = NULL;
	if(isset($_POST['connexion_pseudo']) || isset($_POST['connexion_mop'])){
		$host = "localhost"; 
		$login = "Jean"; 
		$mdp = ""; 
		$bdd = "xxx"; 
 
		$pseudo = $_POST['connexion_pseudo'];
		$motdepasse = sha1($_POST['connexion_mdp']);
 
		if(empty($pseudo) || empty($motdepasse)){
			$erreur = 'Les champs de connexion ne sont pas tous remplis.';
		}
		else{
			$connexion_sql = mysql_connect($host,$login,$mdp); 
			$connexion_bdd = mysql_select_db($bdd);
			if(!$connexion_sql || !$connexion_bdd){
				$erreur = 'Connexion impossible avec le serveur distant.';
			}
 
			$pseudosql = mysql_real_escape_string($pseudo);
			$mdpsql = mysql_real_escape_string($motdepasse);
			$result_pseudo = mysql_query('SELECT * FROM membre WHERE pseudo="'.$pseudosql.'"')
				or exit(mysql_error());
			$nombre_pseudo = mysql_num_rows($result_pseudo);
			$result_mdp = mysql_query('SELECT mdp FROM membre WHERE pseudo="'.$pseudosql.'"')
				or exit(mysql_error());
 
			if($nombre_pseudo = 0){
				$erreur = 'Le pseudo écrit ne correspond à aucun compte.';
			}
			elseif($result_mdp != $motdepasse){
				$erreur = 'Le mot de passe n\'est pas bon.';
			}
			else{
				if(isset($_POST['connexion_checkbox'])){
					setcookie("cookieremember",$checkbox,time()+60*60*24*365*100);
				}
				else{
					setcookie("cookieremember","",NULL,"/");
				}
				session_start();
				$_SESSION['pseudo'] = $pseudo;
				echo 'Ca fonctionne';
			}
		}
	}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Index</title>
<link rel="stylesheet" media="screen" type="text/css" title="Design" href="design.css" />
</head>
 
<body>
	<div id="corp"> <!-- Corp de la page -->
    	<div id="banniere"> <!-- Bannière de la page -->
        </div>
        <div id="menu"> <!-- Menu horizontal -->    
            <ul id="onglets"> <!-- Menu horizontal de la page -->
                <li class="arrondi"><a href="index.php">Accueil</a></li>
                <li><a href="astuces.php">Exposez !</a></li>
                <li><a href="forum/index.php">Forum</a></li>
            </ul>
        </div>  
		<?php 
		if(isset($_SESSION['pseudo'])){ 
		?>
        <div id="connexion"> <!-- Espace connection de la page -->
        	<span class="titreconnexion">C'est qui ?</span>
            <form method="post">
            	<label for="connexion_pseudo" style="font:14px calibri" maxlength="16" >Pseudo : <br/></label>
            	<input type="text" name="connexion_pseudo" /><br /><br />
                <label for="connexion_mdp" style="font:14px calibri">Mot de passe : <br /></label>
                <input type="password" name="connexion_mdp" /><br />
                <a href="#" style="font:11px calibri; text-decoration:none; color:#000;" >Mot de passe oublié ?</a><br /><br/>
                <input type="checkbox" name="connexion_checkbox" />
                <label for="connexion_checkbox" style="font:14px calibri"> Se souvenir de moi. <br/><br/></label> 
                <input type="submit" name="connexion_submit" Value="Connexion" /><br /><br/>
                <a href="inscription.php" style="font:14px calibri; text-decoration:none; color:#FF9600;"><u>Pas encore inscrit ?</u></a>
                <?php
				if($erreur != ''){
                echo '<span class="erreur">'.$erreur.'</span>';
				}
				?>
           </form>
        </div>
		<?php
		}
		else{
		echo 'KikooLOL';
		}
		?>
    </div>
</body>
</html>
</html>

Cependant, quelque chose ne va pas. En effet quand je rentre sur ma page je vois le message "Kikoolol" (oui je sais... :mrgreen:) alors que je n'ai rien renseigné dans le formulaire auparavant. :s

De plus, j'aimerais que vous me donniez vos avis sur ce bout de script. Ce qui pourrait être perfectible etc... ;)

Merci bien. :)

30/12/2009, 00h36
sabotage

Attention aux égalités :

Code:

if($nombre_pseudo == 0){

Et tu as oublié l'étape mysql_fetch_assoc() sur tes lectures de la base de données, ce n'est pas $result_mdp qui contient le mot de passe.

Sinon pour le code :
- a mon avis sur la premiere condition, il te faut un ET et pas un OU.
- tu continues le traitement même si la connexion a echoué.
- tes variables pseudosql et mdpsql sont une étape inutile, tu aurais pu faire l'echappement dés le début ; pour le mot de passe l'echappement sur une donnée passée par SHA1() est je pense inutile.
- je ne comprends pas pourquoi tu fais deux le SELECT

Plop et merci de ta réactivité. ;)

Tout d'abord, j'ai rectifié l'égalité avec deux ==

Citation:

Et tu as oublié l'étape mysql_fetch_assoc() sur tes lectures de la base de données, ce n'est pas $result_mdp qui contient le mot de passe.

mysql_fetch_assoc() ?? Cela voudrait dire que je dois utiliser un tableau ?
En effet, $result_mdp ne contient pas le mdp, j'ai donc ajouter ça :

Code:

$echo_mdp = mysql_result($result_mdp);

et modifié ça :

Code:

1
2
3
			elseif($echo_mdp != $motdepasse){
				$erreur = 'Le mot de passe n\'est pas bon.';
			}

Citation:

- a mon avis sur la premiere condition, il te faut un ET et pas un OU.

C'est fait. ;) j'avais un doute là dessus, mais en effet, ça me semble plus logique. :)

Citation:

- tu continues le traitement même si la connexion a echoué.

Euh... tu parles de l'authentification ou bien de la connexion à la BDD ?

Citation:

- tes variables pseudosql et mdpsql sont une étape inutile, tu aurais pu faire l'echappement dés le début ; pour le mot de passe l'echappement sur une donnée passée par SHA1() est je pense inutile.

Quelque chose comme ça ?

Code:

$pseudo = mysql_real_escape_string($_POST['connexion_pseudo']);

On m'avait dit lors de la conception de mon script d'inscription que le mysql_real_escape_string() aurait pu causer certaines erreurs lors de la vérification. :s Enfin si tu me dis que c'est bon, je te crois. ;)

Les MDP de ma BDD sont tous cryptées en sha1(). Donc si je le laisse en claire, normalement il ne pourrait pas retrouver le mdp cryptée dans le BDD, si ?

Citation:

- je ne comprends pas pourquoi tu fais deux le SELECT

Le premier select permet de trouver si le pseudo mis dans le champs est égal à un pseudo de la BDD. Ensuite, le second select permet de voire si le mdp correspond bien au mdp du pseudo dans la BDD. Tu m'as compris ? ;)

Entre temps, hier soir, j'ai modifier quelques petites chose dans le script, ce qui donne ça :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
<?php 
$erreur = NULL;
	if(isset($_POST['connexion_pseudo']) && isset($_POST['connexion_mdp'])){
		$host = "localhost"; 
		$login = "Jean"; 
		$mdp = ""; 
		$bdd = "xxx"; 
 
		$pseudo = $_POST['connexion_pseudo'];
		$motdepasse = sha1($_POST['connexion_mdp']);
		$checkbox = null;
 
		if(empty($pseudo) || empty($motdepasse)){
			$erreur = 'Les champs de connexion ne sont pas tous remplis.';
		}
		else{
			$connexion_sql = mysql_connect($host,$login,$mdp); 
			$connexion_bdd = mysql_select_db($bdd);
			if(!$connexion_sql || !$connexion_bdd){
				$erreur = 'Connexion impossible avec le serveur distant.';
			}
 
			$pseudosql = mysql_real_escape_string($pseudo);
			$mdpsql = mysql_real_escape_string($motdepasse);
			$result_pseudo = mysql_query('SELECT * FROM membre WHERE pseudo="'.$pseudosql.'"')
				or exit(mysql_error());
			$nombre_pseudo = mysql_num_rows($result_pseudo);
			$result_mdp = mysql_query('SELECT mdp FROM membre WHERE pseudo="'.$pseudosql.'"')
				or exit(mysql_error());
			$echo_mdp = mysql_result($result_mdp);	
 
			if($nombre_pseudo == 0){
				$erreur = 'Le pseudo écrit ne correspond à aucun compte.';
			}
			elseif($echo_mdp != $motdepasse){
				$erreur = 'Le mot de passe n\'est pas bon.';
			}
			else{
				if(isset($_POST['connexion_checkbox'])){
					setcookie("cookiepseudo",$pseudo,time()+60*60*24*365*100);
					setcookie("cookiemdp",$motdepasse,time()+60*60*24*365*100);
				}
				else{
					setcookie("cookiepseudo",$pseudo,NULL,"/");
					setcookie("cookiemdp",$motdepasse,NULL,"/");
				}
				session_start();
				$_SESSION['pseudo'] = $pseudo;
				echo 'Ca fonctionne';
			}
		}
	}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Index</title>
<link rel="stylesheet" media="screen" type="text/css" title="Design" href="design.css" />
</head>
 
<body>
	<div id="corp"> <!-- Corp de la page -->
    	<div id="banniere"> <!-- Bannière de la page -->
        </div>
        <div id="menu"> <!-- Menu horizontal -->    
            <ul id="onglets"> <!-- Menu horizontal de la page -->
                <li class="arrondi"><a href="index.php">Accueil</a></li>
                <li><a href="astuces.php">Exposez !</a></li>
                <li><a href="forum/index.php">Forum</a></li>
            </ul>
        </div>  
		<?php 
		if(isset($_SESSION['pseudo'])){ 
		?>
        <div id="connexion"> <!-- Espace connection de la page -->
        	<span class="titreconnexion">C'est qui ?</span>
            <form method="post">
            	<label for="connexion_pseudo" style="font:14px calibri" maxlength="16" >Pseudo : <br/></label>
            	<input type="text" name="connexion_pseudo" /><br /><br />
                <label for="connexion_mdp" style="font:14px calibri">Mot de passe : <br /></label>
                <input type="password" name="connexion_mdp" /><br />
                <a href="#" style="font:11px calibri; text-decoration:none; color:#000;" >Mot de passe oublié ?</a><br /><br/>
                <input type="checkbox" name="connexion_checkbox" />
                <label for="connexion_checkbox" style="font:14px calibri"> Se souvenir de moi. <br/><br/></label> 
                <input type="submit" name="connexion_submit" Value="Connexion" /><br /><br/>
                <a href="inscription.php" style="font:14px calibri; text-decoration:none; color:#FF9600;"><u>Pas encore inscrit ?</u></a>
                <?php
				if($erreur != ''){
                echo '<span class="erreur">'.$erreur.'</span>';
				}
				?>
           </form>
        </div>
		<?php
		}
		else{
		echo 'KikooLOL';
		}
		?>
    </div>
</body>
</html>
</html>

Merci. ;)

30/12/2009, 16h13
sabotage

Citation:

Les MDP de ma BDD sont tous cryptées en sha1(). Donc si je le laisse en claire, normalement il ne pourrait pas retrouver le mdp cryptée dans le BDD, si ?

Ce que je voulais dire c'est que ce n'est pas necessaire de faire un mysql_real_escape_string() sur une donnée qui viens de passer entre les mains de sha1()

Citation:

Le premier select permet de trouver si le pseudo mis dans le champs est égal à un pseudo de la BDD. Ensuite, le second select permet de voire si le mdp correspond bien au mdp du pseudo dans la BDD. Tu m'as compris ?

si tu ne fais que la deuxieme requête, tu auras egalement l'information de l'existance du login.
30/12/2009, 16h15
Doksuri
Citation:

mysql_fetch_assoc() ?? Cela voudrait dire que je dois utiliser un tableau ?

=> oui fr.php.net/manual/fr/function.mysql-fetch-assoc.php
en simplifie, tu lui dit "mets le resultat de <$result_mdp> dans <$echo_mdp>"
mais apres, il ne sait pas quelle colone tu veux, ni de quelle ligne
Code:

1 2 3 $echo_mdp = mysql_result($result_mdp); $row=mysql_fetch_assoc($echo_mdp); echo $row["ta_colonne"];
=> "mets la ligne suivante (du resultat) dans <$row> et affiche la colonne <ta_colonne>"

l'une de tes 2 requete sql est inutile

sabotage => Ah ok, d'autant plus que $mdpsql n'était pas utilisé. ;)

D'accord, donc le script donne ça :

Code:

1
2
3
4
5
6
7
8
9
10
			$result_mdp = mysql_query('SELECT mdp FROM membre WHERE pseudo="'.$pseudosql.'"')
				or exit(mysql_error());
			$echo_mdp = mysql_result($result_mdp);	
 
			if($echo_mdp == 0){
				$erreur = 'Le pseudo écrit ne correspond à aucun compte.';
			}
			elseif($echo_mdp != $motdepasse){
				$erreur = 'Le mot de passe n\'est pas bon.';
			}

_______

Doksuri => Comme ceci ? Je suis pas très doué avec les tableaux. :s

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
			$pseudosql = mysql_real_escape_string($pseudo);
			$result_mdp = mysql_query('SELECT mdp FROM membre WHERE pseudo="'.$pseudosql.'"')
				or exit(mysql_error());
			$echo_mdp = mysql_result($result_mdp);	
			$row = mysql_festch_assoc($echo_mysql);
			echo $row['mdp'];
 
			if($echo_mdp == 0){
				$erreur = 'Le pseudo écrit ne correspond à aucun compte.';
			}
			elseif($echo_mdp != $motdepasse){
				$erreur = 'Le mot de passe n\'est pas bon.';
			}

30/12/2009, 18h08
sabotage
Tu peux utiliser mysql_result :
c'est au choix :

Code:

$echo_mdp = mysql_result($result_mdp,0);
Code:

1 2 $row = mysql_fetch_assoc($result_mdp); $echo_mdp = $row['mdp'];
30/12/2009, 20h01
JeanJean75

Ok, seulement mon problème initiale persiste. :s
30/12/2009, 20h19
sabotage

il faut que tu fasses l'effort de debuguer : place des echo pour controler la valeur des variables qui conditionnent ton script et controler les if/else que ton script emprunte ou non.

Bon, j'ai décidé de refaire le script d'authentification :

Ce qui donne :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
<?php 
session_start();
$erreur = null;
 
if(isset($_POST['auth_pseudo']) && isset($_POST['auth_mdp'])){
 
	$host = "localhost"; 
	$login = "Jean"; 
	$mdp = ""; 
	$bdd = "xxx"; 
 
	$co_serv = mysql_connect($host,$login,$mdp);
	$co_bdd = mysql_select_db($bdd);
 
	if(!$co_serv || !$co_bdd){
		$erreur = 'Connexion au serveur distant impossible'; 
	}
 
	$pseudo = mysql_real_escape_string($_POST['auth_pseudo']);
	$motdepasse = sha1($_POST['auth_mdp']);
 
	$mdp_querry = mysql_query('SELECT mdp FROM membre WHERE pseudo="'.$pseudo.'"');
	$echo_mdp = mysql_result($mdp_querry,0);
 
	function verification(&$erreur,$pseudo,$motdepasse,$echo_mdp){
		if(empty($pseudo) || empty($motdepasse)){
			$erreur = 'Un ou plusieurs champs du formulaire sont vides';
			return false;
		}
		if($echo_mdp = 0){
			$erreur = 'Mauvai pseudo';
		}
		if($echo_mdp != $motdepasse){
		$erreur = 'Mauvais mot de passe';
		}
	}
 
	$verif = verification($erreur,$pseudo,$motdepasse,$echo_mdp);
	if($verif){
		$sessionpseudo = $_SESSION['pseudo'];
		if(isset($_POST['checkbox'])){
			setcookie("cookiepseudo",$pseudo,time()+60*60*24*365*100);
			setcookie("cookiemdp",$motdepasse,time()+60*60*24*365*100);
		}
		else{
			setcookie("cookiepseudo",$pseudo,NULL,"/");
			setcookie("cookiemdp",$motdepasse,NULL,"/");
		}
		header('Location: test.php');
	}
}
?>
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Index</title>
<link rel="stylesheet" media="screen" type="text/css" title="Design" href="design.css" />
</head>
 
<body>
	<div id="corp"> <!-- Corp de la page -->
    	<div id="banniere"> <!-- Bannière de la page -->
        </div>
        <div id="menu"> <!-- Menu horizontal -->    
            <ul id="onglets"> <!-- Menu horizontal de la page -->
                <li class="arrondi"><a href="index.php">Accueil</a></li>
                <li><a href="astuces.php">Exposez !</a></li>
                <li><a href="forum/index.php">Forum</a></li>
            </ul>
        </div>  
	</div>
</body>
</html>		
 
<?php
if(!isset($_SESSION['pseudo'])){
	?>
	<div id="connexion"> <!-- Espace connection de la page -->
       	<span class="titreconnexion">C'est qui ?</span>
        <form method="post">
        	<label for="auth_pseudo" style="font:14px calibri" maxlength="16" >Pseudo : <br/></label>
          	<input type="text" name="auth_pseudo" /><br /><br />
            <label for="auth_mdp" style="font:14px calibri">Mot de passe : <br /></label>
            <input type="password" name="auth_mdp" /><br />
            <a href="#" style="font:11px calibri; text-decoration:none; color:#000;" >Mot de passe oublié ?</a><br /><br/>
            <input type="checkbox" name="checkbox" />
            <label for="checkbox" style="font:14px calibri"> Se souvenir de moi. <br/><br/></label> 
            <input type="submit" name="submit" Value="Connexion" /><br /><br/>
            <a href="inscription.php" style="font:14px calibri; text-decoration:none; color:#FF9600;"><u>Pas encore inscrit ?</u></a>
            <?php
			if($erreur != ''){
            echo '<span class="erreur">'.$erreur.'</span>';
			}
			?>
       </form>
    </div>
<?php
}
else{
	echo 'Ca fonctionne';
}
?>

Miracle ! Le script marche ! Enfin presque tout ! :p

Les messages d'erreurs s'affichent enfin. Cependant, quand je clique sur le bouton connexion, je tombe sur cette erreur, et là je sèche complètement. :s

Warning: mysql_result() [function.mysql-result]: Unable to jump to row 1 on MySQL result index 4 in D:\wamp\www\xxx\test.php on line 23

La ligne incriminé est celle-ci :

Code:

$echo_mdp = mysql_result($mdp_querry,0);

Merci.

04/01/2010, 20h00
JeanJean75
Tout d'abord, bonne année. :)

Je reviens sur le topic car je suis entrain de chercher une solution au problème posté au dessus. ;)

Sabotage => Quand tu parles de :
Code:

1 2 $row = mysql_fetch_assoc($result_mdp); $echo_mdp = $row['mdp'];
Le 'mdp' correspond à quoi ? Je veux dire par là, que nul part, dans mon formulaire, figure un 'mdp' seul. :)

Merci.
04/01/2010, 20h12
sabotage

$row c'est une ligne retournée par la requete
'mdp' c'est le nom de la colonne
05/01/2010, 11h30
BornBanane

Le warning que tu affiches, c'est parce que la requête ne retourne aucune ligne. Il faudrait que tu utilises "mysql_num_rows" avant "mysql_result", pour savoir combien de lignes sont retournées.
05/01/2010, 12h58
JeanJean75
Merci de vos réponses. ;)

sabotage => Merci pour ces précisions. ;)

francoisIT => Quelque chose de ce genre ?
Code:

1 2 3 $mdp_querry = mysql_query('SELECT mdp FROM membre WHERE pseudo="'.$pseudo.'"'); $row = mysql_num_rows($mdp_querry); $echo_mdp = mysql_result($row['mdp'],0);
J'ai testé et ça me renvoie cette erreur : Warning: mysql_result() expects parameter 1 to be resource, null given in D:\wamp\www\xxx\test.php on line 24

J'ai fais quelques recherches sur Google, mais je n'ai rien trouvé de très probant. :s

Merci. ;)

Le but est de tester si on a un resultat ou non :

Code:

1
2
3
4
$mdp_querry = mysql_query('SELECT mdp FROM membre WHERE pseudo="'.$pseudo.'"');
	if (mysql_num_rows($mdp_querry)) {
         	$echo_mdp = mysql_result($mdp_querry,0);
}

05/01/2010, 14h54
BornBanane

Sabotage t'as répondu :)

Niveau des cookies, lorsque je veux être sur d'en faire expirer un je met plutot une date antérieur à la date actuelle plutot que NULL. Et de plus je met rien comme valeur. Comme ceci le cookie n'a aucune valeur et n'est plus valide.

Exemple :

Code:

setcookie("cookiemdp","",time()-60*24,"/");
05/01/2010, 15h22
JeanJean75
Ok merci. ;)

J'ai donc modifier avec ce que tu as posté au dessus. Cependant, ça me retourne l'erreur suivante :

Notice: Undefined variable: echo_mdp in D:\wamp\www\xxx\test.php on line 43

J'ai donc testé en mettant en début de script :
Code:

1 2 $echo_mdp = null;
Seulement, les messages d'erreurs ne s'affichent plus. :s

Je dois indenter quoi dans la variable $echo_mdp ?

Merci. ;)

Edit : FrançoisIT, je viens de voire ton message.

Je viens d'appliquer les changements présentés. :)

Problème résolu. :)

A l'aide de cette fonction :

Code:

1
2
3
4
5
6
7
8
 
function search_result($pseudo){
	$mdp_querry = mysql_query('SELECT mdp FROM membre WHERE pseudo="'.$pseudo.'"');
	if($echo_mdp = mysql_num_rows($mdp_querry)){
		return $echo_mdp;	
	}
	return $echo_mdp;	
}

Merci et bonne soirée.