Discussion :

[laurentSc]

Bonjour,

sur ma page d'accueil, j'ai un formulaire pour l'authentification dont l'action positionne une variable de session ($_SESSION['auth']) à true si les identifiants sont corrects, et si cette variable est à true, au lieu d'afficher le formulaire, j'affiche le site sur la page d'accueil (index.php) :

index.php :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 
        echo "debug auth (index):".$_SESSION["auth"]."<br/>";
	if ( ! $_SESSION["auth"])
	{
		?>
		<form action="page/authenticate.php" method="get">
                <table style="height:68px;"><tr>
                <div>
		...
                <td><input style="background:transparent;border:none;" type="text" size="30" value="<?php echo (isset($_COOKIE['user']))?$_COOKIE['user']:'';?>"
                name="login2" /></td></tr>
 
               <td><input style="background:transparent;border:none;" type="password" size="30" value="<?php echo (isset($_COOKIE['pwd']))?$_COOKIE  
               ['pwd']:'';?>" name="pwd2" /></td></tr></table>
               <table>
               <tr style="height:40px;">
               <td>
               <input style="background:transparent;border:none;width:80px" type="submit"   name="login" value=""/></td></tr></table>
 
	       </div>
	       </form>
	<?php
 
	}
 
else {
// affichage du site
}

authenticate.php :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
function authentification()
{
		global $bdd;
 
		$auth=false;
 
		$sql = 'select * from `users`';
 
		$qid = $bdd->prepare($sql);
		$qid->execute();
		while ($row=$qid->fetch(PDO::FETCH_ASSOC) ) {
				$usr = $row['user']; 
				$password = $row['password'];  
				if (($usr == $_POST['login2']) && ($password == $_POST['pwd2'])) {
					$auth = true;
 
					$_SESSION['user']=$usr;
					$_SESSION['pass']=$password;
					$temps = 365*24*3600;
					if (isset($_POST['remember'])) {
						setcookie ("user",$usr, time() + $temps);
						setcookie ("pwd",$password, time() + $temps);
					}
					else {
						setcookie ("user","", time() + $temps);
						setcookie ("pwd","", time() + $temps);
					}						
				}
		  }
	$_SESSION['auth']=$auth;
 
 return $auth;
}
 $auth=authentification();
 header ("Location: $_SERVER[HTTP_REFERER]" );
 exit(); ?>

Mon souci, c'est que même si l'action met la variable de session à true, quand on revient dans index.php et qu'on la teste, elle est encore à false. Or même si c'est normal de la voir encore à false dans la page qui vient de la mettre à true, dans une autre page, elle devrait être vue à true, non ? Où est le bug ?

[phantasie71]

Bonjour,
Avez-vous pensé à mettre "session_start();" au début de votre fichier ?

[laurentSc]

Et oui ; début du fichier authenticate.php :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
error_reporting(E_ALL ^ (E_NOTICE|E_WARNING|E_DEPRECATED));
header('Content-type: text/html; charset=UTF-8');
session_start(); 
...

[sabotage]

Tu devrais utiliser var_dump() pour voir ce que contient ta variable.
Un echo ne peut pas te dire si elle vaut FALSE.
Si ta variable vaut FALSE c'est que quelque chose dans le code la met explicitement à FALSE, si elle n'est pas défini, c'est plutôt que tu perds ta session etc.

Au passage, mettre le mot de passe en session et encore pire, dans un cookie, ça n'est pas une bonne idée.

[laurentSc]

OK, mais j'ai fait un mécanisme "remember" (si l'utilisateur fait ce choix, quand il se reconnecte, ses identifiants sont rappelés). Cela existe sur de nombreux sites, mais si on ne passe pas par les cookies, comment faire ?

Au passage, j'ai trouvé pourquoi, l'identification ne marchait pas.

[sabotage]

L'idée consiste à avoir une table séparée pour les authentifications permanentes.
Cette table contient le login et une jeton qui est l'équivalent du mot de passe sauf qu'il s'agit d'une chaine aléatoire.

- Quand l'utilisateur se connecte en cochant "se souvenir de moi" tu génères un jeton pour lui ; le couple login/jeton va en cookie ; la base de données contient le login et la version hashée du jeton.
- Quand l'utilisateur vient sur le site avec un cookie de connexion, tu vérifies sa validité :
- s'il est bon, tu lui génères un nouveau jeton ; cela limite l'utilisation d'un cookie volé.
- s'il est faux, tu supprimes les jetons existant dans la base de données, l'utilisateur devra resaisir son mot de passe; il peut aussi être prévenu d'une tentative de connexion.

Attention, l'utilisateur peut avoir plusieurs cookie s'il se connecte depuis plusieurs machines.

Tu peux en lire plus sur le sujet en anglais :
http://jaspan.com/improved_persisten..._best_practice
https://paragonie.com/blog/2015/04/s...rm-persistence

[laurentSc]

Merci pour cette info ; je m'y pencherai plus tard. Pour l'instant, j'ai juste supprimé le mécanisme "se souvenir de moi".