Discussion :

[Marc31]

Bonsoir,

J'ai fais un formulaire où je demande les identifiants d'une personne.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
	<head>
		<title>Page protégée par mot de passe</title>
		<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
	</head>
	<body>
		<p>Veuillez entrer le mot de passe  :</p>
		<form action="secret.php" method="post">
			<p>
 
		    Pseudo: <input type="text" name="login" /> <br>
			MDP:	<input type="password" name="pass" />
			<input type="submit" value="Valider" />
 
			</p>
		</form>
 
	</body>
</html>

J'aimerais crée un accés securisé, si là personne àun code elle peut accéder à la page sinon il y a un message qui indique mauvais code

j'ai fais ça mais ça marche pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
	<head>
		<title>Codes d'accès au serveur central de la NASA</title>
		<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
	</head>
	<body>
 
    <?php
 
include("_connect.php");
 
if($_POST['login']=="" || $_POST['pass']=="") // Si le formulaire a &eacute;t&eacute; envoy&eacute;
{
	$login = addslashes(htmlentities ($_POST['login']));
    $password = htmlentities ($_POST['pass']);
 
 
	if($password==$val["pass"])
	{
 
		echo "le code est bon";
 
	}
 
	else
	{
		echo "le code n'est pas bon";
 
	}
 
 
} mysql_close();
?>
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" >
	<head>
		<title>Centre de l'Aude - Espace prive</title>
	<body>
 
	    <?php
	            echo "voici l'espace privé";
	    ?>
 
   </body>
</html>

Merci pour votre aide, bonne nuit

[Invité]

Bonsoir,
il manque la partie où on compare les login et pwd entrés à ceux dans la BdD.
ps : penser à protéger la requête contre les injections sql.

[lucas74]

Reprenons ton code point par point.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
	<head>
                <!-- ah quand même. J'espère que les serveurs de la nasa sont mieux protégés que ça. -->
		<title>Codes d'accès au serveur central de la NASA</title>
		<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
	</head>
	<body>

    <?php
// passons sur le fait que l'appel à la base de données se fasse au milieu de la page, ce n'est rien à côté du reste...
include("_connect.php");

// Donc là tu testes si au moins un champs c'est vide et si c'est le cas tu considères que le formulaire est correctement rempli ??!!
if($_POST['login']=="" || $_POST['pass']=="") // Si le formulaire a &eacute;t&eacute; envoy&eacute;
{
// pourquoi htmlentities ? SQL ne comprends pas le html de toute façon...
	$login = addslashes(htmlentities ($_POST['login']));
// pas de addslashes pour $password ? au passage il veut mieux utiliser de vraies fonctions pour échapper les données avant de les passer au serveur sql, genre mysql_real_escape_string. Mais t'en aurais pas besoin si ton mdp était hashé, comme dans tout système d'authentification par mot de passe correct...
    $password = htmlentities ($_POST['pass']);

// $val["pass"] ? d'ou il vient celui là ?
	if($password==$val["pass"])
	{

		echo "le code est bon";

	}

	else
	{
		echo "le code n'est pas bon";

	}


} mysql_close();
?>

<!-- tiens j'ai l'impression qu'on se répète un peu... y'avait pas déjà une entête plus haut ? -->
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" >
	<head>
[...] etc.

Je veux pas être méchant mais manifestement tu ne comprends pas ce que tu fais. Lis une tuto PHP à tête reposée, c'est un langage facile, à condition de comprendre les bases du langage et du protocole HTTP tu pourras faire des petits scripts comme tu veux rapidement.

[Marc31]

oui j'avoue que je ne comprends pas tout et moi non plus je veux pas être méchant mais ton intervention ne me sert pas tropà grnad chose!

[kets14]

J'espère que ceci pourra t'aider

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
include("_connect.php");
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
	<head>
		<title>Page protégée par mot de passe</title>
		<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
	</head>
	<body>
<?php
	if(isset($_POST['login'] and isset($_POST['pass']))
	{
		$verif=new _connect();
		$id=_connect->selectIdCompte($_POST['login'],$_POST['pass']);
		if($id<>""){
			$_SESSION['id']=$id;
		}
	}		
	if(isset($_SESSION['id']){
	include('/controleur/espace_privé.html');
	}else{
	include('/view/formulaire_identification.html');
	}
?>
 </body>
</html>

[Invité]

Principe :
Si le formulaire a été transmis :
1/ on récupère les valeurs : $_POST -> $login_recu et $passe_recu
2/ on fait une requete dans la bdd pour savoir s'il existe un enregistrement avec ce login
CONSEIL : le mieux est d'enregistrer les mot de passe hashés (md5 ou sha, ...)
3/ si un login existe dans la bd :
$passe_recu_hash = fonction_de_hashage($passe_recu)
on compare $passe_recu_hash avec le $passe_hash_de_la_bd_pour_ce_login
4/ si le passe est bon -> OK : on enregistre une variable de session : $_SESSION['user_ok'] = true; (par exemple)
5/ SINON : erreur ! on ne passe pas !

Tu as un code "tout-fait" (-> recherche gogole : "espace membre php")

Tu peux aussi jeter un oeil ici :
- Authentification d'un espace membre avec PHP

[lucas74]

oui j'avoue que je ne comprends pas tout et moi non plus je veux pas être méchant mais ton intervention ne me sert pas tropà grnad chose!

évidemment si tu le prends comme ça mon intervention ne sert pas à grand-chose. Maintenant si tu écoutes mon conseil (à savoir apprendre avant de se lancer et essayer de comprendre ce que tu fais) tu verras ce sera beaucoup plus simple.