les messages de mon index.php.

Version imprimable

bonjour, j'ai un problème avec les messages de mon index.php.
Je m'explique:
J'ai un formulaire d'identification que j'appelle index.php. Le problème, se situe au niveau des messages qu'il renvoit. J'aimerai empecher l'affichage de "champs vides" lorsqu'on tape l'url . En fait il ya 2 messages "champs vides" et "inexistant" lorsque l'utilisateur n'existe pas.
1/-le formulaire : index.php

Code:

1
2
3
4
5
6
7
8
9
10
11
<?php 
// initialisation de la session 
session_start() ; 
 
?> 
<html> 
<head><title>Identification</title></head> 
<body> 
<table> 
    <form method="post" action="login.php"> 
    <tr><td colspan="2"><font color="red"><?php if (isset($_SESSION['message'])) {echo($_SESSION['message']);}?></font></td></tr></form ></table></body></html>

2/- le formulaire login.php pour effectuer les controles sur la pa
ge index.php

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
<?php 
 
// initialisation de la session 
session_start() ; 
 
include('variables.php'); 
include('fonctions.php'); 
 
// CONNEXION A LA BASE DE DONNEE 
connexion(); 
no_cache(); 
 
$message = ""; 
 
//on teste si les champs sont vides         
if (empty( $_POST['pseudo'] ) && empty($_POST['passe'] ) ) 
{ 
$message = 'champs vides'; 
$_SESSION['message']=$message; 
// REDIRECTION VERS LA PAGE ERREUR 
header("Location: ".$pagelogin."?Message=".$_SESSION['message']); 
} 
else 
{ 
  // on les récupère 
  $pseudo = $_POST['pseudo'] ; 
  $passe = $_POST['passe'] ; 
 
 
// ON SELECTIONNE L'ENREGISTREMENT CONTENANT LE LOGIN ET 
// MOT DE PASSE SAISIS A LA PAGE INDEX.HTM 
    $requete=requete("select login from "._TABLE_." where login='".$pseudo."' and mdp='".$passe."'"); 
 
    // SI AUCUN ENREGISTREMENT NE CORRESPOND 
    if(mysql_num_rows($requete)==0) 
        { 
        // REDIRECTION VERS LA PAGE ERREUR 
        $message = 'inexistant'; 
         $_SESSION['message']=$message; 
 
        header("Location: ".$pagelogin."?Message=".$_SESSION['message']); 
 
        } 
    // SI LE LOGIN ET MOT DE PASSE SONT EXACTS      
    else 
        { 
 
     // on sauvegarde donc son nom dans la session 
      $_SESSION['nom'] = $pseudo; 
 
        // REDIRECTION VERS UNE PAGE PROTEGEE AVEC L'IDENTIFIANT SERVANT DE CLE 
    header("Location:".$pagelogged."?user=".$_SESSION['nom']); 
        }      
} 
 
    // DECONNEXION MYSQL 
    deconnexion(); 
 
?>

16/01/2006, 17h32
XtofRoland

dans ta page index.php avant de faire ton echo $_SESSION['message']
si il est isset() verifie qu'il est != 'champ vide'

mais perso je repenserai la facon dont tu as codé tes tests.
16/01/2006, 17h40
cari

XtofRoland, si je fais ce test dans index.php, c'est que le test va se faire 2 fois :!:
par rapport au test de login.php, je fais d'abord un test pour le contenu des champs vides, ensuite je vérifie que la saisie existe bien dans la bd ou pas. je crois que c'est ce qu'il faut faire non :wink: ... si tu as une autre proposition, je suis ouverte! mais n'oublie pas l'objet de mon post. [/b]

j'a itester le code d'index.php en local chez moi et quand je tappe l'url dans le navigateur j'ai pas de message j'ai une page blanche...

pour tes test pour celui qui test les champs vide tu as pas besoin de faire marcher le serveur avec une fonction en js qui test si les champ son vide tu gagne du temps car le test est effectuer coté client. (enfin je pense que c'est mieux)
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 <SCRIPT language="JavaScript"> function Controle() { if(document.admin.login.value=='') // test login vide { alert('Le champ Login ne peut pas rester vide !'); document.admin.login.focus(); } else if(document.admin.motdepasse.value == '') { alert('Le champ mot de passe ne peut pas être vide !'); document.admin.motdepasse.value = '' ; document.admin.mordepasse.focus(); } else { document.admin.method = "POST"; document.admin.action = "sessions/acces.php"; document.admin.submit(); } } </script>

16/01/2006, 23h19
vg33

2 remarques :
1) Pourquoi passes-tu ton message en GET et en SESSION ? Le GET me semble inutile, non ? De plus, ta variable $message est inutile, puisque tu l'affectes tout de suite à $_SESSION['message'].
2) Tu ne valides pas les données de formulaire avant la requête sql. C'est un trou, que dis-je, un gouffre de sécurité. Tu es perméable à toute sql injection.
16/01/2006, 23h22
vg33

Citation:

Envoyé par Halukard

pour tes test pour celui qui test les champs vide tu as pas besoin de faire marcher le serveur avec une fonction en js qui test si les champ son vide tu gagne du temps car le test est effectuer coté client. (enfin je pense que c'est mieux)

Je ne suis pas d'accord. Une vérification de sécurité ne dois jamais s'effectuer uniquement côté client, elle doit toujours être doublée côté serveur. Que fais-tu sinon si js est désactivé ?
Un principe intangible : ne JAMAIS faire confiance aux données transmises par l'utilisateur, de quelle nature que ce soit (post, get, cookies, fichiers...).
17/01/2006, 10h55
cari

vg33
Peux tu m'aider par rapport au:

Citation:

2 remarques :
1) Pourquoi passes-tu ton message en GET et en SESSION ? Le GET me semble inutile, non ?
2) Tu ne valides pas les données de formulaire avant la requête sql. C'est un trou, que dis-je, un gouffre de sécurité. Tu es perméable à toute sql injection.

merci.
17/01/2006, 11h11
Halukard
1 - t variable de sessions tu peu les récupéré sur n'importe qu'elle page sans pour autant les avoir passé en parametre donc ton GET est inutile

2 - je pense qu'il veu dire que tu n'a pas verifié l'intégrité des variable que tu utilise (ce qu'elle contienne) par exemple du code sql qui pourrai etre executé en plus.

juste une question vg33 sur une requete comme ca
Code:

1 2 select login from "._TABLE_." where login='".$pseudo."' and mdp='".$passe."'
que l'utilisateur veuille rajouter un select un update ou autre la requete n'aura plus aucun sens et elle plantera a l'execution non?
17/01/2006, 11h21
Mr N.

et si

Code:

$passe = "xxx' OR '1' = '1";

A ton avis il y a fumisterie ou pas ?
17/01/2006, 12h57
Halukard

Code:

$passe = "xxx' OR '1' = '1";

ben le champ 1 n'existe pas techniquement dans la base donc meme si il passe les autres test a cause du or vu que le champ n'existe pas il doit retourné une erreur, enfin je pense a moins que le 1 ne soit pas considéré comme un champ et a se moment la oui légalité est vrai donc l'utilisateur est autentifier :?
17/01/2006, 13h18
Mr N.

le 1 n'est pas considéré comme un champ. Tu peux tester autre chose que des champs avec mysql, par exemple :

Code:

...WHERE 1 < 2
17/01/2006, 14h45
cari
il fallait que je vide le $_SESSION['message']) et que je fasse un test.

vider:

Code:

<tr><td colspan="2"><font color="red"><?php if (isset($_SESSION['message'])) {echo($_SESSION['message']); unset($_SESSION['message']);}?></font></td></tr>

autre test:
Code:

1 2 3 if ((strlen(trim($_POST['pseudo']))==0 && strlen(trim($_POST['passe']))==0) || ((empty($_POST['pseudo'])) && (empty($_POST['passe'])) )) { $_SESSION['message']='champs vides';
17/01/2006, 21h03
vg33

Citation:

Envoyé par Mr N.

et si

Code:

$passe = "xxx' OR '1' = '1";

A ton avis il y a fumisterie ou pas ?

+1
17/01/2006, 21h39
Halukard

oui ho ca va j'ai tort lol c'est pas la premiere et ca sera pas la derniere ^^ j'avais pas vu ca comme ca va falloir que je modifie qque truc dans mes script moi :?
18/01/2006, 09h21
Mr N.
Il te suffit d'appliquer mysql_real_escape_string si tu es sous mysql et tu es prévenu des injection de ce genre car :

Code:

$passe = "xxx' OR '1' = '1";

après passage sous la dite fonction devient (ou un truc dans ce genre) :

Code:

$passe = "xxx\' OR \'1\' = \'1";

Du coup il n'y a plus fumisterie car la requete est 'normale' :
Code:

1 2 3 4 select login from TABLE where login='pseudo' and mdp='xxx\' OR \'1\' = \'1'