Discussion :

[Bizoo]

Bonjour,

j'aimerais mettre en place un système de Session pour une partie admin de mon site mais j'ai quelques soucis...

Tout d'abord voici le code de la page d'index :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
<?php
session_start();
?>
<html>
 
<?php
Require('../../fcts/connexion.php');
?>
 
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
 
<script type="text/javascript" src="../../js/fonctions.js"></script>
 
<title></title>
</head>
 
<link rel="stylesheet" type="text/css" href="../../css/style_admin.css">
 
<body>
 
<div class="accueil_admin">
 
<div id="bandeau_admin">
<fieldset style="background-color:orange;border-color:orange;">
<center>
<pre style="font-weight:bold;color:red;font-size:28;">/!\  ADMIN ONLY  /!\</pre>
</center>
</fieldset>
</div>
 
 
<div id="separateur">
</div>
 
<!-- bloc menu -->
<div id="menu_admin">
	<table align="center"><tr><td>
	<dl>
		<dt onmouseover="javascript:montre();"><a href="index_admin.php?section=textes">Modification des textes</a></dt>
	</dl>
	<dl>
		<dt onmouseover="javascript:montre();"><a href="index_admin.php?section=domaines">Gestion des domaines</a></dt>
	</dl>
	<dl>			
		<dt onmouseover="javascript:montre('smenu1');">Gestion des r&eacute;alisations</dt>
		<dd id="smenu1">
			<ul onmouseout="javascript:montre();">
				<?php
				connexion();
 
				$result = request('SELECT id_domaine, nom, description FROM domaines');
 
				while($row = mysql_fetch_row($result)){
					$id = $row[0];
					$nom = $row[1];
					$desc = $row[2];
					echo '<li><a href="index_admin.php?section=realisations&iddomaine='.$id.'">> '.$nom.'</a></li>';
				};
 
				// Deconnexion de la base de donnees
				close_connexion();
				?>
			</ul>
		</dd>
	</dl>
	</td></tr></table>
</div>
 
<!-- bloc corps -->
<div style="border:1px solid black;" id="corps_admin">
 
<br><br>
<?php 
 
if(isset($_SESSION['logged'])){
	if (isset($_GET ["section"])) include($_GET["section"].".php");
}
else{
	include("./login.php");
}
?>
 
</div>
 
</div>
 
</body>
 
</html>

Je met donc au départ le session_start() pour démarrer une session quand un utilisateur vient sur la page.
Ensuite, vers le bas du code je regarde si ma variable $_SESSION['logged'] est déclaré ou pas. Si oui j'accède à une page avec le $_GET["section"].".php" sinon j'affiche toujours ma page de login.

Voici maintenant ma page de login :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
<body>
 
<?php
Require_once('../../fcts/connexion.php');
Require('../../fcts/fonctions_login.php'); 
?>
 
<div>
<table align="center" id="login" width="30%">
 
	<?php
	if(!isset($_SESSION['logged'])){
		echo '<tr>';
		echo 	'<th colspan="2" style="border-bottom:1px solid black;">Veuillez vous enregistrer !</th>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td colspan="2"><br></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td>Login : </td>';
		echo 	'<td><input id="log" type="text" width="50px" /></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td>Mot de passe : </td>';
		echo 	'<td><input id="pwd" type="text" width="50px" /></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td align="center" colspan="2"><input type="button" value="GO !" onclick="javascript:Log();"/></th>';
		echo '</tr>';
	}
	else{
		if($_SESSION['logged'] == "OK"){
			echo '<tr>';
			echo 	'<td style="border-bottom:1px solid black;">Enregistrement r&eacute;ussi !</td>';
			echo '</tr>';
		}
		else{
			echo '<tr>';
			echo 	'<td style="border-bottom:1px solid black;">Enregistrement &eacute;chou&eacute; !</td>';
			echo '</tr>';
		}
	}
	?>
 
</table>
</div>
 
</body>

Ici, on peut voir la mire de connexion et le bouton qui lance la fonction javascript "Log();" suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
function Log(){
 
	var login = document.getElementById("log").value;
	var pwd = document.getElementById("pwd").value;
 
	var xhr_object = getXhr();
 
	xhr_object.onreadystatechange = function() { alert_ajax(xhr_object); };
 
	xhr_object.open("POST", "./login.php", true);
	xhr_object.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
	// --- ICI TU PASSE TES ARGUMENTS AU SCRIPT :
	var data = "fonction=log&log="+login+"&pwd="+pwd;
 
	alert(data);
 
	xhr_object.send(data);
 
	var chaine=window.location.href;
	var reg=new RegExp("\\?", "g");
	var tableau=chaine.split(reg);
 
	sleep(1500);
 
	window.location.href = tableau[0] + "?section=login";
}

Par le alert je vois que mes variables dont bien renseignées.

Dans ma page de login, j'inclus en haut un fichier "fonctions_login.php" dont le code est le suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php
if(isset($_POST["fonction"]))
{
	if($_POST["fonction"] == "log")
	{
		connexion();
 
		$result = request('SELECT id_connexion FROM administration WHERE login = "'.$_POST["log"].'" AND password = "'.$_POST["pwd"].'"');
 
		if(mysql_fetch_row($result)){
			echo 'oui';
			$_SESSION['logged'] = "OK" ;
		}
		else{
			$_SESSION['logged'] = "NOK" ;
			echo 'non';
		}
 
		close_connexion();
	}
}
?>

Dans la fonction javascript, les instructions suivantes :

var data = "fonction=log&log="+login+"&pwd="+pwd;
xhr_object.send(data);

devraient avoir pour effet de me permettre de récupérer les valeurs $_POST["fonction"] !
Cette variable devrait contenir la valeur "log", donc cela devrait déclencher le bout de code PHP de mon fichier "fonctions_login.php" !

Et au rechargement de ma page, $_SESSION['logged'] devrait être déclaré, alors ma page login.php devrait faire apparaître soit ça si dans la variable il y a la valeur OK :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if($_SESSION['logged'] == "OK"){
			echo '<tr>';
			echo 	'<td style="border-bottom:1px solid black;">Enregistrement r&eacute;ussi !</td>';
			echo '</tr>';
		}

et sinon ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
else{
			echo '<tr>';
			echo 	'<td style="border-bottom:1px solid black;">Enregistrement &eacute;chou&eacute; !</td>';
			echo '</tr>';
		}

Mon problème c'est que c'est ma mire de connexion qui revient tout le temps ... J'en conclue donc que ma variable de session $_SESSION['logged'] ne retourne rien ...

Et je ne comprend pas pourquoi ! Si quelqu'un arrive à déchiffrer mon merdier ?! lol je lui en serais très reconnaissant ....

Cordialement,
Bizoo

[emmanuel.remy]

Salut,

Sacré jeu de piste... ton login est une vraie chasse au trésor !
A mon avis tu fais quelques erreurs que je te soumets:

• l'enchainement des divers fichiers est TRES BANCAL
  Tu commences par faire un

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
   
  include("./login.php");

  et ton code HTML de login.php commence par une balise BODY qui prend donc place dans une DIV: bof, bof
• plus génant:
  
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  3
  4
  5
  6
  7
  8
  9
  10
  11
  12
  13
  14
  15
                function Log(){
   
  ...              	
                	var xhr_object = getXhr();
   
                	xhr_object.onreadystatechange = function() { alert_ajax(xhr_object); };
   
                	xhr_object.open("POST", "./login.php", true);
                	xhr_object.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
  ...
                	xhr_object.send(data);
  ...              	
                	sleep(1500);
                	window.location.href = tableau[0] + "?section=login";
                }

  Donc tu envoies tes données, tu attends un peu et... tu recharges la page ! Que se passe t il si ta requête AJAX n'a pas fini de s'exécuter (en local tu ne ressentira peut-être pas, mais ton application déployée sur le net : )
• Autre point: ta requete AJAX appelle login.php uniquement pour le plaisir d'affecter ta variable de session $_SESSION['logged']. Le souci c'est que quand ta page login.php est exécutée elle ne déclenche pas de session_start()... Donc tu perds le contexte de la session...

Et pourquoi faire de l'AJAX ici ? C'est incroyable comme on veut toujours faire de l'AJAX . Ne le prends pas pour toi, mais j'ai l'impression que quand on a un souci on pense que faire de l'AJAX va le régler !

Pour éviter ces écueils, pourquoi ne remplaces tu pas ton

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
include("./login.php");

de ta page principale par un simple formulaire qui poste les données vers ta page de vérification du login qui, pour faire simple, envoie un header de redirection vers la page principale ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
Page Principale
-- code commun
-----section affichée  (si loggé)  ou
-----formulaire de login (si pas loggé)
            |
            ->POST traitement_login.php (mise à jour de $_SESSION['logged'])
                                  |
                                  |
Page principale <-------------- header("Location: pageprincipale.php");

Pas d'AJAX superflu, du bon vieux php/html.
Tu disposes déjà de tout le code (hormis la balise <form ...>), reste juste à le réorganiser dans les bons fichiers.

Et en passant, ta requête:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$result = request('SELECT id_connexion FROM administration WHERE login = "'.$_POST["log"].'" AND password = "'.$_POST["pwd"].'"');
if(mysql_fetch_row($result)){
			echo 'oui';
			$_SESSION['logged'] = "OK"
...

est ouvert à une faille de sécurité qu'on appelle SQL Injection et qui permet à quiconque de se connecter à ton panneau d'administration. Mais c'est un autre domaine.

ERE

[Bizoo]

Merci de toutes ces indications ! Il est tard je vais me coucher mais je verrais tout ça ce week end !!!

Par contre si tu pouvais m'en dire plus sur cette faille de sécurité ?!

PS: j'ai l'intention de crypter login et mot de passe à l'envoie et dans la base dès que tout ça marchera ! MD5()....

[emmanuel.remy]

PS: j'ai l'intention de crypter login et mot de passe à l'envoie et dans la base dès que tout ça marchera ! MD5()....

Stocker en base le MD5 du mot de passe est une très bonne solution qui règlera une grosse partie de la sécurité. Pour le login cela n'a a priori pas trop d'intérêt.
Et pour info, un MD5 n'est pas un cryptage mais un hash, et n'est pas (en théorie) infaillible.

ERE

[Bizoo]

Bon alors j'ai essayé quelques modifications et ça avance ! mais pas totalement OK ...

Maintenant j'ai ça :

mon index_admin.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
<?php
session_start();
?>
<html>
 
<?php
Require('../../fcts/connexion.php');
?>
 
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
 
<script type="text/javascript" src="../../js/fonctions.js"></script>
 
 
<title></title>
</head>
 
<link rel="stylesheet" type="text/css" href="../../css/style_admin.css">
 
<body>
 
<div class="accueil_admin">
 
 
<div id="bandeau_admin">
<fieldset style="background-color:orange;border-color:orange;">
<center>
<pre style="font-weight:bold;color:red;font-size:28;">/!\  ADMIN ONLY  /!\</pre>
</center>
</fieldset>
</div>
 
 
<div id="separateur">
</div>
 
<!-- bloc menu -->
<div id="menu_admin">
	<table align="center"><tr><td>
	<dl>
		<dt onmouseover="javascript:montre();"><a href="index_admin.php?section=textes">Modification des textes</a></dt>
	</dl>
	<dl>
		<dt onmouseover="javascript:montre();"><a href="index_admin.php?section=domaines">Gestion des domaines</a></dt>
	</dl>
	<dl>			
		<dt onmouseover="javascript:montre('smenu1');">Gestion des r&eacute;alisations</dt>
		<dd id="smenu1">
			<ul onmouseout="javascript:montre();">
				<?php
				connexion();
 
				$result = request('SELECT id_domaine, nom, description FROM domaines');
 
				while($row = mysql_fetch_row($result)){
					$id = $row[0];
					$nom = $row[1];
					$desc = $row[2];
					echo '<li><a href="index_admin.php?section=realisations&iddomaine='.$id.'">> '.$nom.'</a></li>';
				};
 
				// Deconnexion de la base de donnees
				close_connexion();
				?>
			</ul>
		</dd>
	</dl>
	</td></tr></table>
</div>
 
 
<!-- bloc corps -->
<div style="border:1px solid black;" id="corps_admin">
 
<br><br>
<?php 
 
/*if (isset($_GET ["section"])) include($_GET["section"].".php");*/
if(isset($_SESSION['logged'])){
	if (isset($_GET ["section"])) include($_GET["section"].".php");
}
else{
	include("./login.php");
}
?>
 
 
</div>
 
 
 
 
</div>
 
</body>
 
</html>

ma page login.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
<?php
Require_once('../../fcts/connexion.php');
?>
 
<div>
<table align="center" id="login" width="30%">
<tr><td>
	<?php
	if(!isset($_SESSION['logged'])){
		echo '<form action="../../fcts/fonctions_login.php" method="post">';
		echo '<table><tr>';
		echo 	'<th colspan="2" style="border-bottom:1px solid black;">Veuillez vous enregistrer !</th>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td colspan="2"><br></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td>Login : </td>';
		echo 	'<td><input name="log" type="text" width="50px" /></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td>Mot de passe : </td>';
		echo 	'<td><input name="pwd" type="text" width="50px" /></td>';
		echo '</tr>';
 
		echo '<tr>';
		echo 	'<td align="center" colspan="2"><input type="submit" value="GO !"/></th>';
		echo '</tr></table>';
		echo '</form>';
	}
	else{
		if($_SESSION['logged'] == "OK"){
			echo 	'<u>Enregistrement r&eacute;ussi !</u>';
		}
		else if($_SESSION['logged'] == "NOK"){
			echo 	'<u>Enregistrement &eacute;chou&eacute; !</u>';
		}
		else{
			echo 	'<u>Variable vide ?</u>';
		}
	}
	?>
</td></tr>
</table>
</div>

et ma fonction php fonctions_login.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php
Require_once('./connexion.php');
 
connexion();
 
$result = request('SELECT id_connexion FROM administration WHERE login = "'.$_POST["log"].'" AND password = "'.$_POST["pwd"].'"');
 
if(mysql_fetch_row($result)){
	echo 'oui';
	$_SESSION['logged'] = "OK" ;
}
else{
	$_SESSION['logged'] = "NOK" ;
	echo 'non';
}
 
close_connexion();
 
 
?>

Sans placer le header, le comportement est le suivant :

si je rentre un mauvais login ou mdp j'ai un non sur ma page blanche et si je rentre tout conforme j'ai un oui ! Jusque là c'est plutôt réjouissant !!!

Mon problème vient lorsque je place un header ... avec celui ci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
header("Location: ../src/admin/index_admin.php");

ou celui ci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header("Location: http://127.0.0.1/veyrandon/src/admin/index_admin.php");

j'ai le comportement suivant :

quoi que je rentre comme identifiants, bon ou mauvais, je suis de retour sur la mire de connexion ... Comme si en revenant sur ma page admin_index.php, ma variable de session "logged" s'était détruite .....

Une idée mon sauveur ?!

Je penserais peut-être à un problème de conf de session qui ferais qu'elle ce détruit lorsqu'elle est démarrée (timeout trop petit) mais je ne connais pas trop la conf d'une session...

Bizoo

[emmanuel.remy]

Salut,

Il te manque un session_start() dans fonctions_login.php


ERE

[Bizoo]

C'est ok tu m'a mis sur la bonne voie car ce n'est pas dans login.php qu'il fallait mettre le session_start() mais dans ma fonction php "fonctions_login.php"

En tout cas je te remercie grandement de ton aide très précieuse !!!

Bizoo



edit:Ah tu as édité ... lol