Discussion :

[jlee_xxx]

Salut! à tous

Je suis novice en PHP et MySQL (PDO donc..) et souhaiterais donner l'accès aux admins de mon site à la page administration.php ..
Je me suis inspiré d'un tutoriel PHP, pour faire ma requete et ma comparaison, mais ca ne fonctionne pas..
Etant novice, j'ai testé des petits echo partout, pour voir le contenu des variables, et je ne semble pas pouvoir afficher le contenu de ma bdd..

J'ai donc testé un select * , et afficher tout, ça fonctionne..
Je vous mets ci-dessous une copie du code actuel :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php 
include("./includes/DBconnect.php");
 
$query=$db->prepare('SELECT * FROM users WHERE login-user =:pseudo');
$query->bindValue(':pseudo',$_POST['login'], PDO::PARAM_STR);
$query->execute();
$data=$query->fetch();	
echo '1:'.$_POST['login']; // ca fonctionne, ca reprend bien mon login ADMIN rentré dans le formulaire de l'index.php
echo '2:'.$data['pw-user']; // ca n'affiche rien, il semble etre vide
if ($data['pw-user'] == md5($_POST['pass'])) // Acces OK !
{
$_SESSION['pseudo'] = $data['login-user'];
$_SESSION['id'] = 1;
header("Location: administration.php");
}
else // Acces pas OK !
{
echo "pas ok";
}
$query->CloseCursor();
 
?>

Chaque fois, il passe donc dans la deuxième branche du IF...

Merci

[Benjamin Delespierre]

Fais voir la structure de ta table (DESC `tablename`)

[rawsrc]

Bonjour,

Essaies avec ce code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
<?php
$inc = include("./includes/DBconnect.php");
 
if (false === $inc) {
   exit('err on include');
}
 
$stmt = $db->prepare('SELECT * FROM users WHERE login-user = :pseudo');
if (false === $stmt) {
   exit('err on prepare');
}
 
$bind = $stmt->bindValue(':pseudo', $_POST['login'], PDO::PARAM_STR);
if (false === $bind) {
   exit('err on bind');
}
 
try {
   $exec = $stmt->execute();
   if (false === $exec) {
      exit('err on exec');
   }
 
   $data = $stmt->fetch(PDO::FETCH_ASSOC);
   echo '<pre>', 'user : ', $data['longin-user'], '<br />', 'pwd : ', $data['pw-user'], '<br />';
   echo 'postPwd : ', $_POST['pass'], ' - md5 : ', md5($_POST['pass']);
}
catch (PDOException $e) {
   exit($e->getMessage());
}
 
?>

[jlee_xxx]

Voila

Table users :
id-user int(11)
login-user varchar(40)
pw-user varchar(40)

[jlee_xxx]

Bonjour,

Essaies avec ce code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
<?php
$inc = include("./includes/DBconnect.php");
 
if (false === $inc) {
   exit('err on include');
}
 
$stmt = $db->prepare('SELECT * FROM users WHERE login-user = :pseudo');
if (false === $stmt) {
   exit('err on prepare');
}
 
$bind = $stmt->bindValue(':pseudo', $_POST['login'], PDO::PARAM_STR);
if (false === $bind) {
   exit('err on bind');
}
 
try {
   $exec = $stmt->execute();
   if (false === $exec) {
      exit('err on exec');
   }
 
   $data = $stmt->fetch(PDO::FETCH_ASSOC);
   echo '<pre>', 'user : ', $data['longin-user'], '<br />', 'pwd : ', $data['pw-user'], '<br />';
   echo 'postPwd : ', $_POST['pass'], ' - md5 : ', md5($_POST['pass']);
}
catch (PDOException $e) {
   exit($e->getMessage());
}
 
?>

Salut, et merci beaucoup pour ton temps.
Malheureusement, ca ne fonctionne pas, ca ne me poste dans tous les cas que "err on exec"

[rawsrc]

Bon c'est simple, tu ne dois pas utiliser le tiret dans le nom des champs.
Remplace par le tiret-bas : login-user => login_user

[jlee_xxx]

Ca marche!
Franchement, un grand merci

[Benjamin Delespierre]

Meuh si qu'on peut utiliser le tiret, il faut juste penser à échaper le nom du champ dans la requête car a-b est interprété par mysql comme une soustraction

Voici comment tu dois utiliser l'échapement:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT `une-colonne` FROM `une-database`.`une-table` WHERE `un-colone` IN (SELECT `autre-chose` FROM `une-autre-table`)

[rawsrc]

Meuh si qu'on peut utiliser le tiret, il faut juste penser à échaper le nom du champ dans la requête car a-b est interprété par mysql comme une soustraction

Bon là je ne pense pas que cela soit très judicieux comme recommandation. Dans les bonnes pratiques, il est clairement déconseillé d'utiliser le tiret dans le nommage des champs, tables ou autre élément.
Bref, comme souvent c'est possible mais pas recommandé.

[Benjamin Delespierre]

A ce compte là il faut aussi lui expliquer que SELECT * c'est mal

Enfin, ce point sur l'échappement me parait nécessaire car on est obligé de l'utiliser pour des colonne avec des noms comme count ou name (mot clés réservés par MySQL).

[CinePhil]

Et bien il suffit de nommer correctement les objets de la BDD :
- pas de mots réservés du SQL ;
- pas de caractères problématiques, c'est à dire pas d'accents, de caractères diacritiques, de tirets, d'espaces, de signes de ponctuation.

Bref, rien que des lettres, éventuellement des chiffres et le caractère de soulignement.