Discussion :

[Skriggz]

Bonjour,

Pour le moment je me connecte a ma base de donnée et j'aimerais maintenant faire une interface de connexion qui compare donc mes EditText (identifiant et password) a mes deux ResultSet (connect et pass)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
 
 connection = (Button)findViewById(R.id.connect);
        connection.setOnClickListener(new OnClickListener() {
            @Override
            public void onClick(View v) {
                identifiant = (EditText)findViewById(R.id.makeident);
                String essai = identifiant.getText().toString();
                Toast.makeText(MainActivity.this, essai,Toast.LENGTH_LONG).show();
                password = (EditText)findViewById(R.id.makepass);
                String essai2 = password.getText().toString();
 
 
                try {
                    connect =   test1.executeQuery("SELECT nom FROM login");
                } catch (SQLException e) {
                    e.printStackTrace();
                    Log.i(Message, "pas de requete login");
 
                }
                try {
                    pass = test2.executeQuery("SELECT password FROM login");
                } catch (SQLException e) {
                    e.printStackTrace();
                    Log.i(Message,"pas de requete password");
                }

Donc pour le moment lorsque je clique sur mon bouton cela lance ma requete.

Ce que je souhaite faire c'est de comparer mon resultset a mon EditText crée précédemment.
Donc si jamais le résultat est similaire alors j'ouvre une nouvelle page.

Avez vous des idées pour m'aider a résoudre ce souci ?

merci d'avance ?

[Hizin]

Tu crées une brêche de sécurité en faisant ça.
Pour ton couple login/password, tu envois celui-ci au serveur, et le serveur te répond ensuite OK ou KO. Tu n'as rien de plus à faire côté application, et surtout pas traiter une quelconque similitude envers des données renvoyées. Je suis un attaquant, je vois une application fonctionnant ainsi, je fais en sorte de sniffer le réseau ou je regarde les traces pour savoir quels sont les identifiants qui passent.

[Skriggz]

mince du coup je dois trouver autre chose pour faire mon interface de connexion car pour mon projet on me demande de sécuriser l'appli avec justement une demande d'identification .

Je pensais pouvoir me connecter sur ma base de donnée et ensuite faire une requête de comparaison.

[Hizin]

La vérification se fait au niveau du serveur.

L'utilisateur rentre ses identifiants sur l'application.
A la validation, ces informations sont envoyées au serveur.
Celui-ci vérifie que ces informations sont correctes.
SI elles sont correctes, il répondra (exemple) par une requête HTTP HEAD (sans corps) ayant un code 200
SI elles sont INcorrectes, il répondra (exemple) par une requête HTTP HEAD (sans corps) en 403 ("accès non-autorisé").
Côté application, tu interpréteras le retour.
SI 200 => authentification réussie.
SI 403 => authentification ratée.

Par sécurité, on ne se connecte JAMAIS en direct à une base de données distante. On crée une API qui la manipule, ce qui permet de limiter les interactions "du monde" sur la BDD. De plus, cette API utilise un (ou plusieurs) utilisateur(s) dédié(s) ayant des droits limités pour requêter sur la base de données, dans le but de réduire les injections SQL (déjà rendue plus complexes).
Ce sont les lignes "A la validation, ces informations sont envoyées au serveur." & "Celui-ci vérifie que ces informations sont correctes.". Les informations sont envoyées au serveur via cette API. Le serveur répond ensuite selon le formalisme voulu.