Discussion :

[papounet007]

Dans un formulaire d'identification, j'ai 2 <input> pour entrer respectivement le nom et le mot de passe. Le formulaire marche mais j'ai dans les deux champs des valeurs par défaut qui correspondent au pseudo et mot de passe de l'ancien Administrateur (qui a disparu !). J'ai refait complètement le site qui est sur OVH.

J'ai essayé de mettre le paramètre "value" qui donne normalement la valeur par défaut. Cela marche si je met une vraie valeur, mais si je mets une chaine vide (""), c'est comme si je ne mettais pas de "value".

Je suppose donc que mon prédécesseur a mis son login/mot de passe dans un fichier de configuration quelque part ... mais où ? J'ai cherché dans php.ini, mais n'ai rien trouvé.

Je suis débutant, si vous avez la réponse, merci de préciser comment je puis modifier ce fichier de conf.

Merci de votre aide.

[s.n.a.f.u]

Bonjour,

Le formulaire marche mais j'ai dans les deux champs des valeurs par défaut qui correspondent au pseudo et mot de passe de l'ancien Administrateur (qui a disparu !

Bravo l'expert en sécurité. Vous avez bien fait de changer.

Pourrais-tu nous donner le code ? Parce qu'à priori, tu as fait les bonnes vérifications.

Et enfin, ne serait-ce pas plutôt du PHP ? Si c'est le cas, je te déplacerais au bon endroit.

[papounet007]

Voilà le code de ma page. J'ai remplacé les noms de base et mot de passe par "j'ai ôté le nom". C'est effectivement du PHP mais comme l' <input> incriminé était de l'HTML, je l'ai mis dans ce forum. Pas de problème à le déplacer.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
<?php session_start();
	$serveur=$_SERVER['SERVER_NAME'];
	if ($serveur=="localhost") //on est sur le PC
	{
		$page_administrateur="http://localhost/web_lecep/administrateur.php";
		$serveur="localhost";
		$username="root";
		$mot_de_passe_base="";
	}
	else //on est sur le serveur ovh
	{
		$page_administrateur="http://www.lecep.net/administrateur.php";
		$serveur="j'ai ôté le nom";
		$username="j'ai ôté le nom";
		$mot_de_passe_base="j'ai ôté le mot de passe";
	}
	$nom_base="j'ai ôté le nom";
 
	$erreur = false;
	if (isset($_POST['nom']) AND isset($_POST['prenom']) AND isset($_POST['mot_de_passe'])) // si les infos ont été entrées
	{
		mysql_connect($serveur, $username, $mot_de_passe_base)or die("Impossible de se connecter : " . mysql_error());
		// $perdu=mysql_real_escape_string(htmlspecialchars($_POST ['perdu']));
		$nom = mysql_real_escape_string(htmlspecialchars($_POST['nom'])); //fonctions pour éviter les hackers
		$nom=strtoupper($nom); //mise  du nom en majuscules
		$prenom = mysql_real_escape_string(htmlspecialchars($_POST['prenom']));
		$prenom = ucwords(strtolower($prenom)); // premières lettres en majuscule, les autres en minuscules
		$mot_de_passe = mysql_real_escape_string(htmlspecialchars($_POST['mot_de_passe']));
		$identite=$prenom." ".$nom;
		// on va récupérer les données correspondantes de la base
		mysql_select_db($nom_base)or die("Sélection de la base impossible : " . mysql_error());
		$argument = "SELECT * FROM identites WHERE identite='$identite'";
		$reponse = mysql_query($argument);
		$donnees=mysql_fetch_array($reponse); //valeurs à vide si l'identité n'est pas dans la base
		mysql_close();
		if($donnees['mot_de_passe'] == $mot_de_passe AND $mot_de_passe != "")
		{
			$_SESSION[identite]=$identite;
			header("Location: $page_administrateur");
			exit;
		}
		$erreur = true;
	}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" >
	<head>
       <title>LECEP - Liaison et coordination des Ecoles de prière (EPJ)</title>
       <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
	   <link rel="stylesheet" media="screen" type="text/css" title="Style1" href="styles/style1.css" />
	</head>
	<body>
		<div id="menu">
			<a href="index.php"><img src="images/logo_lecep.jpg" alt="Logo de LECEP" title="Retour à la page d'accueil" width="100%" style="border: none" /></a>
		</div>
 
		<div id="corps">
			<h1>
				Identification
			</h1>
			<p id="parole">
				«&nbsp;Alors ils lui dirent&nbsp;: “Qui es-tu&nbsp;? Il faut que nous donnions une réponse à ceux qui nous ont envoyés”&nbsp;» <span style='font-style:normal'>(Jn&nbsp;1&nbsp;<span class="verset">22</span>)</span>
			</p>
			<p>
				Cette page est réservée aux administrateurs. Si vous n'en êtes pas un, veuillez revenir à la page d'accueil en cliquant sur le logo.
			</p>
 
			<p>
				Si vous êtes administrateur, entrez vos nom, prénom et mot de passe, puis cliquez sur <em>OK</em>.
			</p>
			<!-- <p>
				Si vous avez oublié votre mot de passe, tapez vos nom et prénom et cliquez sur <em>J'ai perdu mon mot de passe</em>&nbsp;: un courriel vous sera alors adressé avec votre mot de passe.
			</p> -->
 
			<?php
			if ($erreur)
			{ ?>
			<p class="erreur">
				Votre identification est erronée !
			</p>
			<?php } ?>
 
			<form method="post" action="identification.php" style='margin-top: 10px'>
				<table border="0">
					<tr>
						<td style='border: 0px'> <label for="prenom">Prénom : </label> </td>
						<td style='border: 0px'> <input type="text" name="prenom" value="votre prénom" size="30" id="prenom" /> </td>
						<td style='border: 0px; font-size: 0.7em'> On ne tient pas compte de la casse (majuscule/minuscule)</td>
					</tr>
					<tr>
						<td style='border: 0px'> <label for="nom">Nom : </label> </td>
						<td style='border: 0px'> <input type="text" name="nom" value="votre nom" size="30" id="nom" /> </td>
						<td style='border: 0px; font-size: 0.7em'> On ne tient pas compte de la casse</td>
					</tr>
					<tr>
						<td style='border: 0px'> <label for="mot_de_passe">Mot de passe : </label> </td>
						<td style='border: 0px'> <input type="password" name="mot_de_passe" value="aaaa" size="10" id="mot_de_passe" /> </td>
						<td style='border: 0px; font-size: 0.7em'> On tient compte de la casse</td>
					</tr>
					<tr>
						<td style='border: 0px'> <input type="submit" name="ok" value="OK" /> </td>
						<td style='border: 0px'> <!-- <input type="submit" name="perdu" value="J'ai perdu mon mot de passe" />  --> </td>
						<td style='border: 0px'> </td>
					</tr>
				</table>
			</form>
			</p>
		</div>
   </body>
</html>

[s.n.a.f.u]

J'ai regardé ton code (après avoir mis la balise code !) et je ne vois pas le problème.

Dans le code fourni, les valeurs par défaut seront respectivement "votre nom" et "aaaa".

Le formulaire s'appelle lui-même quand tu le valides et si les infos d'identification sont exactes, il et redirige vers la page d'administration par cette directive à la ligne 39

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header("Location: $page_administrateur");

C'est quoi le problème ?

PS : allez hop, on bouge vers le PHP.

[ThomasR]

Bonsoir,

Je pense que c'est simplement ton navigateur qui a sauvegardé tes paramètres de connexion de compte, peut-être as-tu nommé les <input/> de la même manière dans le front et le back-office ? Cela expliquerait pourquoi ton navigateur avait automatiquement pré-remplis les champs par les infos de compte administrateur.

As-tu testé sur un ordinateur autre que le tien ?

Dans le cas contraire je rejoins l'avis de jml94.

[papounet007]

Vous aviez raison. J'ai été cherché dans les mots de passe de mon navigateur (Firefox) et j'y ai bien trouvé le pseudo de l'ancien webmaster. Je me rappelle maintenant qu'il m'avait passé ses codes et que j'ai dû les utiliser quelques fois sur l'ancien site, avant que je ne le refasse complètement.

Ce qui m'a dérouté, c'est que, d'habitude, Firefox me demande mon mot de passe "global" pour aller chercher le fichier des mots de passe. Alors que pas là.

M'enfin, j'ai viré le pseudo en question de Firefox et çà marche.

Merci de votre aide.