Discussion :

[gwendoline-bricout]

Bonjour a toutes et a tous
Dans mon projet il y a une parti administrateur et une parti pour des techniciens qui ont eux aussi un mot de passe et un login pour pouvoir accéder au site ..

Je ne sais pas comment faire pour que si par exemple quelqu'un arrive et entre dans l'url

http://localhost/LCEsa/connexion.php

alors qu'il se fasse jeter

Donc en gros si les login et mot de passe ne sont pas entré qu'il n'y ai aucun accès possible ..

Alors j'avais pensé a faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Si formulaire de connexion non rempli alors 
                 $acces= "Acces refuser, veuillez vous connecté";
                 header('Location:connexion.php?acces=' . urldecode($acces));
Finsi

Mais je ne trouve pas comment dire en PHP ma condition et déjà est ce que je suis sur la bonne voie ? Telle est la question ...
Merci de votre écoute et de votre aide les ami(e)s !!

[gwendoline-bricout]

Alors j'ai tester (en toute honneteté) en y allant au talent hin :

dans ma page ou je ne veux pas que le user est acces:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if var_dump(!isset($_SESSION['connexion2'])) {
$acces="Vous n'avez pas acces a cette page, veuillez vous connecter";
header('Location: connexion.php?acces=' . urldecode ($acces)) ;
}

Et j'appel mon Get dans connexion.php et c'est aussi la que je declare mon

$_POST['connexion2']=$_SESSION['connexion2']

Tout focntionne bien pas de soucis exepté une petite chose
je dois mettre ma declaration de session dans une condition puisque je fais une redirection sur connexion.php et c'est la que la declaration est presente et du coup quand il me redirectionne sur connexion.php il m'affiche une erreur :

Notice: Undefined index: connexion2 in C:\wamp\www\LCEsa\connexion.php on line 28

Car forcement il n'a rien fais il est juste revenue sur la page mais du coup ne comprend plus l'affectation ...

[grunk]

Tu dois utiliser les variables de session pour arriver à tes fin.

En simplifiant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if($login == 'Pierre' && $pass ='paul') {
    $_SESSION['connecte'] = 1;
}

Et plus loin dans le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if(!empty($_SESSION['connecte'])) {
     echo 'utilisateur connecté';
} else {
    echo 'non connecté';
}

Tout ceci nécessite bien entendu l'utilisation de session_start , mais tu en apprendra plus en parcourant la documentation.

Un tutoriel DVp sur le sujet : http://beaussier.developpez.com/articles/php/session/

[Bovino]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if var_dump(!isset($_SESSION['connexion2']))

Mais ça veut rien dire ça...

[gwendoline-bricout]

Je ne comprend pas ton code grunk
j'ai utiliser els session_start() etc etc j'utilise les session mais quand je reviens sur la page initiale ou sont declarer mes session il ne les reconnais plus il m'affiche l'erreur cité ci dessus ..

Bovino, j'ai trouvé ca sur un autre forum .. je dois enlever le var_dump ?

[sabotage]

var_dump() sert à afficher la définition d'un élément PHP, en général pour debuguer.
Lis la doc quand tu utilises des fonctions que tu ne connais pas.

[gentil2005]

Je ne comprend pas ton code grunk

Le code que @grunk t'as donné est plutôt facile à comprendre, c'est la solution minimale à ton problème, dis moi ce que tu n'a pas compris dessus, comme ça on peut t'assister.

Il faut surtout savoir c'est quoi les variables sessions déjà, si non on sera entrain d'essayer de mettre la charrue devant les bœufs

Et j'appel mon Get dans connexion.php et c'est aussi la que je declare mon

$_POST['connexion2']=$_SESSION['connexion2']

tu parles de GET pourtant dans ton code c'est bien $_POST que je vois là, en plus même si tu utilisais $_GET, je ne vois pas où tu passe la variable connexion2 dans une url.... ou je dois porter des lunettes? en bref, je comprend pas ton code, tu devrais faire simple comme t'a proposé @Grunk

[gwendoline-bricout]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if($login == 'Pierre' && $pass ='paul') {
    $_SESSION['connecte'] = 1;
}

Voici la partie du code de grunk dont je ne comprend pas l'utilisation dans le cas de mon pitit probleme

Le GET ne concerne pas le connexion mais la variable acces je me suis mal exprimé et je n'ai pas tout mit autant pour moi messieurs je la refais en plus clair

Je suis sur 3 pages PHP :
Une appeler connexion.php qui contient le formulaire de login et password et qui va afficher les message d'erreur des GET :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<div id="contenu">
<form action="admin.php" method="post">
Login : <input type="text" name="login3" value="<?php if (isset($_POST['login'])) echo htmlentities(trim($_POST['login'])); ?>"><br />
Mot de passe : <input type="password" name="pass3" value="<?php if (isset($_POST['pass'])) echo htmlentities(trim($_POST['pass'])); ?>"><br />
<br />
<input type="submit" name="connexion2" class="ajouter" value="Connexion">
</form>
 
<?php
 
$_POST['connexion2']=$_SESSION['connexion2'];
 
//message d'erreur si MDP ou login faux 
if (isset($_GET['err'])){
echo '<script language="Javascript"> alert ("'.htmlentities(urldecode($_GET['err'])).'" ) </script>';
}
 
//message d'erreur si un des deux champs est vide
if (isset($_GET['error'])){
echo '<script language="Javascript"> alert ("'.htmlentities(urldecode($_GET['error'])).'" ) </script>';
}
 
//message d'erreur si l'acces n'est pas autorisé
if (isset($_GET['acces'])){
echo '<script language="Javascript"> alert ("'.htmlentities(urldecode($_GET['acces'])).'" ) </script>';
}
?>

Cette page, m'envoi sur admin.php qui verifie les saisies des user et qui contient les GET :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
<?php
if (isset($_POST['connexion2'])) {
	if (!empty($_POST['login3']) && !empty($_POST['pass3'])) {
 
		//Connexion a la base de donnée
		connectMaBase();
 
		// on teste si une entrée de la base contient le couple login / pass
			$sql = 'SELECT count(*) as nb FROM admin WHERE user="'.mysql_escape_string($_POST['login3']).'" AND pass2_md5=PASSWORD("'.mysql_escape_string($_POST['pass3']).'")';
			$req = mysql_query($sql) or die('Erreur SQL !<br />'.$sql.'<br />'.mysql_error());
 
			$result=mysql_fetch_assoc($req);
 
		//mysql_free_result($req);
		mysql_close();
 
		// si on obtient une réponse, alors l'utilisateur est un membre
		if ($result['nb'] == 1) {			
			$_SESSION['login3'] = $_POST['login3'];
			header('Location: ajouter.php');
			exit();
		}
		// si on ne trouve aucune réponse, le visiteur s'est trompé soit dans son login, soit dans son mot de passe
		elseif ($result['nb'] == 0) {
			$message=" Le mot de passe ou le login est faux";
			//redirection la ou le message d'erreur sera affiché et pour se loger de nouveau 
			header('Location: connexion.php?err=' . urlencode($message) );
		}
	}
	elseif (empty($_POST['login3']) || empty($_POST['pass3'])) {
			$message2=" un des deux champs est vide";
			//redirection la ou le message d'erreur sera affiché et pour se loger de nouveau 
			header('Location: connexion.php?error=' . urlencode($message2) );
	}
}
 
?>

Et enfin, j'ai ma page inscription.php que je veux cacher a un user qui n'ai pas admin :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<form action="confirmation7.php" method="post">
Login : <input type="text" name="login2" value="<?php if (isset($_POST['login2'])) echo htmlentities(trim($_POST['login2'])); ?>"><br />
Mot de passe : <input type="password" name="pass2" value="<?php if (isset($_POST['pass2'])) echo htmlentities(trim($_POST['pass2'])); ?>"><br />
Confirmation du mot de passe : <input type="password" name="pass_confirm" value="<?php if (isset($_POST['pass_confirm'])) echo htmlentities(trim($_POST['pass_confirm'])); ?>">
<br /><br />
<input type="submit" class="ajouter" name="inscription" value="Inscription">
</form>
<?php
if (isset($_GET['vide7'])){
	echo '<script language="Javascript"> alert ("'.htmlentities(urldecode($_GET['vide7'])).'" ) </script>';
}	
 
if (isset($_GET['erreur'])){
	echo '<script language="Javascript"> alert ("'.htmlentities(urldecode($_GET['erreur'])).'" ) </script>';
}   
 
if ( isset ($_GET['echec'])){
echo '<script language="Javascript"> alert ("'.htmlentities(urldecode($_GET['echec'])).'" ) </script>';
}
 
 
?>

Qui elle est renvoyé a confirmation7.php qui fais le traitement des saisies des user sur le formulaire de inscription.php je met le code aussi si ca peux vous aider :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
// on teste si le visiteur a soumis le formulaire
if (isset($_POST['inscription']) && $_POST['inscription'] == 'Inscription') {
	// on teste l'existence de nos variables. On teste également si elles ne sont pas vides
	if ((isset($_POST['login2']) && !empty($_POST['login2'])) && (isset($_POST['pass2']) && !empty($_POST['pass2'])) && (isset($_POST['pass_confirm']) && !empty($_POST['pass_confirm']))) {
		// on teste les deux mots de passe
		if ($_POST['pass2'] != $_POST['pass_confirm']) {
			$erreur = 'Les 2 mots de passe sont differents.';
			header('Location: inscription.php?erreur=' . urlencode($erreur) );
		}
		else {
			//Connexion a la base de donnée
			connectMaBase();
 
			// on recherche si ce login est déjà utilisé par un autre membre
			$sql = 'SELECT `Nom` FROM `technicien` WHERE Nom="'.mysql_escape_string($_POST['login2']).'"';
			$req = mysql_query($sql) or die('Erreur SQL !<br />'.$sql.'<br />'.mysql_error());
			$data = mysql_fetch_array($req);
 
			//Si le resultat de la premiere requete est faux alors le membre n'existe pas donc on le créé
			if ($data[0] == 0) {
 
				//requete sql d'insertion dans la BDD
				$sql = 'INSERT INTO `technicien` VALUES("", "'.mysql_escape_string($_POST['login2']).'", PASSWORD("'.mysql_escape_string($_POST['pass2']).'"))';
				mysql_query($sql) or die('Erreur SQL !'.$sql.'<br />'.mysql_error());
				//redirection vers la page d'accueil 
				$reussite="Inscription reussite" ;
				header ('Location:ajouter.php?reussite='. urldecode($reussite) ) ;
			}
		}
	}
 
	elseif (empty ($_POST['login2']) || empty($_POST['pass2']) || empty($_POST['pass_confirm'])) {
			$vide7="Au moins un des champs est vide";
			header('Location: inscription.php?vide7=' . urlencode($vide7) );
	}
 
	else {
	$echec="Inscription echoue";
	header ('Location:inscription.php?echec='. urldecode($echec) ) ;
	}
}
?>

Je cherche comment bloqué l'acces de inscription.php ...
Je suis désolé de ces explications incompletes

[sabotage]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if(!isset($_SESSION['login3']) || $_SESSION['login3'] != 'administrateur') {
   echo "pas d'accès";
   exit();
}

[gwendoline-bricout]

Oui je sentais bien que c'était quelque chose dans ce style mais ou est ce que je dois le mettre et c'est le pourquoi du comment que je voudrais savoir surtout xD
Ces deux sessions ou est ce que je dois les déclarer ?
Ce 'administrateur' d'où vient-il ?

Ce que je ne veux pas c'est que si un user quelconque rentre dans l'URL

http://localhost/LCEsa/inscription.php

Il y ai acces sans passer par le login et password de l'admin ...

--------------------------------

J'ai essayer de faire avec dasn connexion.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if (isset ($_POST['connexion2'])) {
$_POST['connexion2']=$_SESSION['connexion2'];
}

Et dans inscription.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<?php
if( !isset ($_SESSION['connexion2'])) {
$acces="Vous n'avez pas acces a cette page, veuillez vous connecter";
header('Location: connexion.php?acces=' . urlencode ($acces)) ;
}
?>

Alors quand je rentre dans l'URL Ce que je ne veux pas c'est que si un user quelconque rentre dans l'URL

http://localhost/LCEsa/inscription.php

c'est ok il bloque mais si je renter bien mon login et password d'admin et que je clique sur le bouton qui me mene a inscription.php il bloque aussi ...
J'suis pas loin je le sens Enfin je crois

[gwendoline-bricout]

J'ai trouver ceci sur le forum :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<?php
require "auth.php"; // implémente les fonctions "is_logged" et "validate_rights"
 
// si l'utilisateur n'est pas loggué ou s'il ne dois pas avoir accès à ce script
if (!is_logged() || !validate_rights(__FILE__)) {
    header("HTTP/1.1 403 Forbidden");  // header "interdit"
    header("Refresh:5;url=login.php"); // redirection vers "login.php" dans 5 secondes
    include "forbidden.html";          // affichage de la vue "intedit, vous allez être redirigé bla bla bla..."
    die();
}

Quelqu'un peux me dire si cela m'est utile ou pas ?
Je comprend le fonctionnement de is_logged et validate_rights mais je ne comprend pas cette ligne de code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

require "auth.php"; // implémente les fonctions "is_logged" et "validate_rights"

merci de votre aide les amis

[sabotage]

Comme on te l'a dit

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_POST['connexion2']=$_SESSION['connexion2'];

n'a pas de sens.
$_POST est une variable qui contient les données reçus par POST, il n'y a pas lieu d'affecter des valeurs dedans.

[gwendoline-bricout]

OUi j'avais pas vu comme ca ...
Mais du coup je dois securiser les pages que je veux garder en acces uniquement par l'admin et pour ca j'ai trouvé un petit bout de code sur une discution du forum mais j'avoue ne pas tout bien comprendre au bon fonctionnement de celui ci ..


-*------------
J'ai essayer ca (sans succés) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if (isset ($_POST['login']) && isset ($_POST['pass'])) {
$_POST['login']=$_SESSION['login'];
$_POST['pass']=$_SESSION['pass'] ;
}

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
if( !isset ($_SESSION['login']) && !isset ($_SESSION['pass']) ) {
$acces="Vous n'avez pas acces a cette page, veuillez vous connecter";
header('Location: connexion.php?acces=' . urlencode ($acces)) ;
}

[sabotage]

Je ne sais pas pourquoi tu cherches des bouts de code alors que nous t'avons déjà proposé des façon de répondre à ton besoin.

[gwendoline-bricout]

Bon j'ai refais avec ce que tu m'a donné Sabo' :
Dans connexion :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if (isset ($_POST['login3']) && isset ($_POST['pass3'])) {
$_POST['login3']=$_SESSION['login3'];
$_POST['pass3']=$_SESSION['pass3'] ;
}

Dans inscription :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<?php
if(!isset($_SESSION['login3']) || $_SESSION['login3'] != 'administrateur') {
   echo "pas d'accès";
   exit();
}
?>

Alors si je passe par l'url j'ai pas acces mais meme si je passe par mon log j'ai pas acces non plus exactement comme j'ai fais tout a l'heure ...

[sabotage]

J'ai déjà dit que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_POST[xxxx] = yyyy

n'a pas de sens.

[gwendoline-bricout]

Oui j'ai bien vu mais alors comment je l'initialise ma session ?

[papajoker]

Oui j'ai bien vu mais alors comment je l'initialise ma session ?

revois comment lire ou écrire dans une session ! et/ou il faut aussi que tu comprennes le sens de l'affectation "=" niveau maternelle php

[gwendoline-bricout]

Bah je l'ai déjà vu ca
ecriture :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php
  session_start();
  $_SESSION['login'] = 'Gwen';
?>

Lecture :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php
  session_start();
  echo $_SESSION['login'];
?>

[papajoker]

Oui j'ai bien vu mais alors comment je l'initialise ma session ?

"initialise" c'est quoi ? écriture ou lecture ? (10 posts pour ca c'est cool)