Discussion :

[laurentSc]

Bonjour,

j'ai un code qui génère des cookies si l'utilisateur coche la case "se souvenir de moi". Mon souci, c'est que si on coche cette case, on retrouve les cookies, même après avoir effacé l'historique.

Peut-on me dire ce qui ne va pas dans mon code ?

html2-milieu.php

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
if ( ! $_SESSION["auth"]) 
	{
		?>
		<main>
		  <section>
			<form id="authform" action="<?php echo SITE_URL_HTTP;?>/page/authenticate.php" method="post">
			<fieldset id="form-area1">
			<p>
			<a href="http://www.schneider-electric.com/b2b/en/campaign/life-is-on/life-is-on.jsp" target="_blank">
			<img src="<?php echo SITE_URL_HTTP; ?>/images/logo/LifeIsOn1x30_transparent.jpg" alt=''/></a><span class="dblock"></span>
			<?php echo $str[323]; ?>  <h2><i class="fa fa-user-o" aria-hidden="true"></i>
		 LOGIN</h2>
			  <p>
				<label for="login2">Username</label>
				<input id="login2" type="text" size="30" value="<?php if (isset($_COOKIE['user'])) echo $_COOKIE['user'];else echo "";?>" name="login2" />
			  </p>
			  <p>
				<label for="pwd2">Password</label>
				<input class="btsubmit" id="pwd2" type="text" size="30" value="<?php if (isset($_COOKIE['htoken'])) echo $_COOKIE['htoken'];else echo "";?>" name="pwd2" />
				<input type="submit" value="Submit" name="goAuth" />
			  </p>
			  </fieldset>
			  <fieldset id="form-area2">
			  <p>
 
			  <label for="remember"><?php echo $str[324]; ?></label> //la case "se souvenir de moi"
			  <input  type="checkbox" id="remember"  name="remember" />
			  </p>
			  </fieldset>
			</form>
		  </section>
 
		  <br />
 
		</main>

Ce sont les cookies des lignes 15 et 19 qui restent tout le temps.

authenticate.php

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
function authentification()
{
global $bdd;
 
		$auth=false;
//to check if login and pwd are present in the table user
		$sql = 'select * from `users`';
 
		$qid = $bdd->prepare($sql);
		$qid->execute();
		while ($row=$qid->fetch(PDO::FETCH_ASSOC) ) {
				$usr = $row['user']; 
				$password = $row['password'];  
				if (($usr == $_POST['login2']) && ($password == $_POST['pwd2'])) {
					$auth = true;
			                $_SESSION['user']=$usr;		
                               }
                 }
		if (!$auth) {
//to check if login and token are present in the table authenticate	
		     $sql = 'select * from `authenticate`';
		     $qid = $bdd->prepare($sql);
		     $qid->execute();
		     while ($row=$qid->fetch(PDO::FETCH_ASSOC) ) {
				$usr = $row['user']; 
				$token = $row['password'];  
				if (($usr == $_POST['login2']) && ($token == $_POST['pwd2'])) {
					$auth = true;
                                        $_SESSION['user']=$usr;
			       }
		      }
 
		      if (isset($_POST['remember'])) { 
			   $_SESSION['remember']=true; 
			   require_once(dirname(__DIR__).'/page/remember.php');										
		     }
		     else {//to delete all cookies
			   setcookie ("user","", time() + $temps);
			   setcookie ("htoken","", time() + $temps);
		    }
		}
		if (!$auth) {
			$_SESSION['remember']=false;
		}
 
	$_SESSION['auth']=$auth;
 
 return $auth;
}
 $auth=authentification();
 header ("Location: $_SERVER[HTTP_REFERER]" );
 exit();

remember.php

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
//to generate a random value
		$token=rand(); 
		$hash_token=md5($token);
		$temps = 365*24*3600;
		setcookie ("user",$_SESSION['user'], time() + $temps);
		setcookie ("htoken",$hash_token, time() + $temps);

[Inazo]

Bonjour,

De mémoire pour supprimer un COOKIE, il faut que tu set le COOKIE à une durée de validité antérieur du coup plus comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
setcookie ("user","", time() - 100);
setcookie ("htoken","", time() - 100)

@+

[sabotage]

Mon souci, c'est que si on coche cette case, on retrouve les cookies, même après avoir effacé l'historique.

Tu veux dire que la fonction "effacer l'historique" du navigateur ne supprime pas les cookies ?
Si c'est ça alors PHP ne peut rien faire pour toi, c'est un problème du côté de ton navigateur.

[laurentSc]

Désolé de ne pas répondre avant mais pas eu le temps...

D'abord, essayé le conseil de Inazo, mais pas mieux.

Sinon, Sabotage, mon avis est plutôt que mon code re_set automatiquement le cookie...Pour vérifier si le navigateur traite correctement les cookies, je voudrais faire un test.
J'ai fait ce petit test :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php
if( isset($_POST) AND !empty($_POST) AND ($_POST['set_cookie']))
{
    $temps = 365*24*3600;
	setcookie("set_cookie","test", time() + $temps);
}
 
?>
 
<form action="" method="post" name="test">
 <label for="set_cookie">Set cookie ?</label>
<input type="checkbox" id="set_cookie" name="set_cookie">
<input type="submit" value="Submit" />
</form>
<?php
if( isset($_POST['set_cookie'])) echo "test cookie=".$_COOKIE['set_cookie'];
?>

mais il m'affiche

Undefined index: set_cookie in...

une fois que j'ai setté le cookie ; C'est quoi mon erreur ?

[sabotage]

Simplement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if( isset($_POST['set_cookie']))

[laurentSc]

Merci j'ai corrigé, ai pu faire mon test et j'ai bien confirmation que le navigateur gère correctement les cookies : si je le "set", il l'affiche et je peux ensuite le supprimer.
Comme ce code récalcitrant, je l'ai écrit y a un moment (plusieurs années), et comme je ne retrouve pas l'explication de tout, il me paraît plus simple de tout refaire..

[laurentSc]

Bonjour,


j'ai ce formulaire d'authentication :

Code html+php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
 
 
	<form id="authform" action="<?php echo SITE_URL_HTTP;?>/page/authenticate.php" method="post">
			<fieldset id="form-area1">
			<p>
			<a href="http://www.schneider-electric.com/b2b/en/campaign/life-is-on/life-is-on.jsp" target="_blank">
			<img src="<?php echo SITE_URL_HTTP; ?>/images/logo/LifeIsOn1x30_transparent.jpg" alt=''/></a><span class="dblock"></span>
			<?php echo $str[323]; ?>  <h2><i class="fa fa-user-o" aria-hidden="true"></i>
		 LOGIN</h2>
			  <p>
				<label for="login2">Username</label>
				<input id="login2" type="text" size="30" value="<?php if (isset($_COOKIE['user'])) echo $_COOKIE['user'];else echo "";?>" name="login2" />
			  </p>
			  <p>
				<label for="pwd2">Password</label>
				<input class="btsubmit" id="pwd2" type="text" size="30" value="<?php if (isset($_COOKIE['htoken'])) echo $_COOKIE['htoken'];else echo "";?>" name="pwd2" />
 
			  </p>
			  </fieldset>
			  <fieldset id="form-area2">
			  <p>
 
			  <label for="remember"><?php echo $str[324]; ?></label>
			  <input  type="checkbox" id="remember"  name="remember" />
			  </p>
			  </fieldset>
			</form>

avec le bien connu "se souvenir de moi". Mais il est clair que si l'authentification n'est pas valide ou si l'utilisateur n'a pas coché "se souvenir de moi", il faut remettre à 0 les cookies car sinon, les champs login et password ne seront pas vidés.

Pour ce faire, dans l'action, j'ai mis :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
		if ((!$auth)||(!isset($_POST['remember']))) {//to delete all cookies 
			setcookie ("user","", time() -100);
			setcookie ("htoken","", time() -100);
		}

mais visiblement ce test n'est pas appelé. Comment faire ?

[sabotage]

mais visiblement ce test n'est pas appelé.

Tu as fait le test ou c'est une supposition ?

La logique de ton code n'est pas bonne : les cookies ne sont créés/modifiés qu'après un rechargement de la page.
En plus du setcookie() il faut en plus artificiellement vider tes valeurs dans $_COOKIE.

Au passage quand même, la façon dont tu gères l'authentification automatique est étrange.
Une authentification automatique ne consiste pas à pré-remplir les champs du formulaire.
Tu devrais lire des articles sur les bonnes pratiques :
https://paragonie.com/blog/2015/04/s...stence#title.2
https://stackoverflow.com/questions/...ication#477579
http://jaspan.com/improved_persisten..._best_practice
https://fishbowl.pastiche.org/2004/0..._best_practice

[laurentSc]

Tu as fait le test ou c'est une supposition ?

Pour vérifier, je fais un affichage suivi immédiatement de exit() pour être sûr de le voir/

Même si je comprends un peu l'anglais (vaut mieux en informatique), ça reste difficile d'accès ; y aurait pas un tuto en français ?

[laurentSc]

Comme je préfère le français, j'ai trouvé 2 trucs pas très récents mais avant d'y passer du temps, j'aimerais l'avis d'un expert :
http://matthieu.developpez.com/authentification/#L1
http://fr.wikihow.com/cr%C3%A9er-un-...c-PHP-et-MySQL

[sabotage]

ça ne parle pas du "se souvenir de moi".

[laurentSc]

Oups ! Il va donc falloir que je me farcisse l'anglais (rien que d'y penser me donne la migraine )