Discussion :

[sakti1]

Bonjour,

Je voulais faire un script pour qu'un utilisateur puisse s'identifier sur mon site (réalisé pour mon bts).

j'ai mis ce script pour vérifier si l'utilisateur existe ou pas dans ma base de donnée:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
 
<? 
session_start(); 
mysql_connect('localhost', 'root', ''); 
mysql_select_db('biblio'); 
 
$pseudo = $_POST['pseudo']; 
$mdp = $_POST['mdp']; 
$requete = mysql_query("SELECT pseudo FROM adherent WHERE mdp = '".$mdp."'"); 
//echo "SELECT usernameAd FROM adherent WHERE passwordAd = '".$pass."'"; 
$row=mysql_fetch_array($requete); 
if(isset($_POST['pseudo']) AND isset($_POST['mdp']) AND $row[0] == $pseudo) 
{ 
$_SESSION['pseudo'] = $_POST['pseudo']; 
$_SESSION['mdp'] = $_POST['mdp']; 
$_SESSION['autorisation'] = 'oui'; 
?> 
<a href="Accueil.html">Merci! vous pouvez maintenant acceder à l'accueil</a> 
<? 
} 
 
else 
{ 
?> 
 
<body onLoad="alert('Membre non reconnu, veuillez réessayer')"> 
 
<meta http-equiv="refresh" content="0; URL=Accueil.html"> 
 
<? 
} 
mysql_close(); 
?>

Mais le problème c'est que même si je saisi rien ou un login / mots de passe erroné sa m'affiche comme même "Merci vous pouvez maintenant accéder à l'accueil" en plus de "'Membre non reconnu, veuillez réessayer'.


http://img260.imageshack.us/img260/4347/erreurt.jpg


Pouvez vous m'aider s'il vous plait . Dite moi si vous avez besoin de plus de précisions. Merci Beaucoup .

[10_GOTO_10]

Et oui:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
... ?> 
<a href="Accueil.html">Merci! vous pouvez maintenant acceder à l'accueil</a> 
<? ...

Le lien est en dehors du PHP... Donc il sera toujours affiché.

D'autre part:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$mdp = $_POST['mdp']; 
$requete = mysql_query("SELECT pseudo FROM adherent WHERE mdp = '".$mdp."'");

Très dangereux, ça. C'est la porte ouverte à l'injection SQL.