Condition IF ne fonctionne pas.

Marsh Posté le 21-03-2010 à 14:15:41

Bonjour.

Pour un projet de GSI je suis en train de codé un site.

Je bloque sur une condition IF qui ne fonctionne pas. En effet je voudrais verifier si le login et le mot de passe entrés dans le formulaire correspondent au login / mot de passe dans la base de données.

Voici mon script :

Code :

<?php
//Protection anti XSS
$login = htmlspecialchars($_POST['login']);
$password = htmlspecialchars($_POST['password']);
$login_bdd="";
$password_bdd="";
$id_bdd="";
//Si on a le login ET le mot de passe ne sont pas vide on continue d'execute le script
if (!empty($login) && !empty($password))
{
// Recherhce dans la table du login et du mot de passe.
$db=mysql_connect("127.0.0.1","root","" ) or die ("Erreur de connection." );
mysql_select_db("projet",$db) or die ("Erreur de table." );
$sql = "SELECT `utilisateur`.`login_utilisateur`, `utilisateur`.`password_utilisateur`,`id`\n"
. "FROM `utilisateur`\n"
. "WHERE (`utilisateur`.`login_utilisateur` = \"$login\" )\n"
. " ";
$resultat_sql=mysql_query($sql);
while ($données = mysql_fetch_assoc($resultat_sql))
{
$login_bdd = $données['login_utilisateur'];
$password_bdd = $données['password_utilisateur'];
}
if (($password_bdd != $password) && ($login_bdd != $login)) {
echo "Le login ou le mot de passe est incorect.";
}
else
//Une fois que le couple login formulaire et login BDD (+ mot de passe) sont correcte on peut
//attribué l'id de l'utilisateur a une varibale pour en faire une variable de SESSION qui nous
// sert a authentifier l'utlisateur dans tout le site.
{
while ($données = mysql_fetch_assoc($resultat_sql))
{
$id_bdd = $données['id'];
}
// Variable de sessions.
$_SESSION['login_utilisateur']= $login_bdd;
$_SESSION['password_utilisateur'] = $password_bdd;
$_SESSION['id_bdd'] = $id_bdd;
echo "MA FUTURE PAGE D'ADMINISTRATION";
}
}
else
{
echo "Vous devez remplir tout les champ du formulaire.";
}
?>

Si je met un bon login mais un mauvais mot de passe j'ai acces a la futur page d'admin. Par contre si je me trompe de login j'ai bien le message d'erreur attendu.

J'ai l'impresion que le script verifie l'exactitude uniquement sur le login et non le mot de passe.

Quand je fait par exemple

Code :

if ($password == $password_bdd)
{
echo "Les mot de passe sont identique";
}
else
{
echo "Les mot de passe sont differants";
}

J'ai bien la reponse : Les mot de passe sont identique ...

Je ne comprend pas mon erreur.

Merci

Reply

Marsh Posté le 21-03-2010 à 14:15:41

Reply

Marsh Posté le 21-03-2010 à 14:28:12

ligne 40, remplace && par ||

Tu testes sur login incorrect et mot de passe incorrect. Tu dois tester sur login incorrect ou mot de passe incorrect.

Reply

Marsh Posté le 21-03-2010 à 14:58:51

Non justement

Je veux que le login ET le mot de passe soit valide.

Si je met un OU l'utlisateur peut rentre un login valide et un mot de passe bidon et il rentrera dans la page d'administration

Message édité par Jordan_67 le 21-03-2010 à 14:59:24

Reply

Marsh Posté le 21-03-2010 à 15:23:48

C'est toi qui a tort.
Relis ton test : actuellement tu ne passes dans le echo "Le login ou le mot de passe est incorect."; que si le mdp ET le login sont incorrects.
Tu veux n'y passer que si l'un OU l'autre est incorrect.

Et réciproquement tu ne veux pas y passer si l'un ET l'autre sont corrects, ce qui t'a induit en erreur. Je te suggère de lire un petit cours sur les opérateurs booléens, et éventuellement le theoreme de morgan qui a plus ou moins trait à ce genre de choses.

Message édité par TotalRecall le 21-03-2010 à 15:23:58

---------------
Topic .Net - C# @ Prog

Reply

Marsh Posté le 21-03-2010 à 15:26:48

Autre chose : ton script est vulnérable à l'injection SQL, on peut très très facilement contourner ton authentification. Tu dois protéger tes chaînes de caractères avant de les passer aux requêtes (mets injection sql php dans google pr en savoir +).

---------------
Topic .Net - C# @ Prog

Reply

Marsh Posté le 21-03-2010 à 15:32:26

Autant pour moi.

Un grand merci a vous ça fonctionne.

Je vais me renseigné pour l'injection sql

Reply

Marsh Posté le 21-03-2010 à 16:22:14

En faisant ça suis-je protegé des injections SQL ?

Code :

$login = htmlspecialchars($_POST['login']);
$login = mysql_real_escape_string($login);
$password = htmlspecialchars($_POST['password']);
$password = mysql_real_escape_string($password);

Reply

Marsh Posté le 21-03-2010 à 16:58:30

Non pas bon je continue mes recherches

Reply

Marsh Posté le 21-03-2010 à 17:52:59

Pourquoi pas bon ? Utiliser mysql_real_escape_string est bien la chose à faire (l'une des nombreuses possibilités en tout cas)

---------------
Topic .Net - C# @ Prog

Reply

Marsh Posté le 21-03-2010 à 18:58:41

Parce que j'ai des message d'erreur

Code :

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Accès refusé pour l'utilisateur: 'Jordan'@'@localhost' (mot de passe: NON) in C:\Program Files\EasyPHP5.3.0\www\projet\authentification.php on line 6
Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: A link to the server could not be established in C:\Program Files\EasyPHP5.3.0\www\projet\authentification.php on line 6
Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Accès refusé pour l'utilisateur: 'Jordan'@'@localhost' (mot de passe: NON) in C:\Program Files\EasyPHP5.3.0\www\projet\authentification.php on line 9
Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: A link to the server could not be established in C:\Program Files\EasyPHP5.3.0\www\projet\authentification.php on line 9

Reply

Marsh Posté le 21-03-2010 à 18:58:41

Reply

Marsh Posté le 21-03-2010 à 19:12:07

La connexion à la bdd doit avoir été ouverte avant de pouvoir appeler mysql_real_escape_string. En mettant tes messages d'erreur dans google tu l'aurais vu très vite !

---------------
Topic .Net - C# @ Prog

Reply

Marsh Posté le 21-03-2010 à 20:15:23

Exact.

Un grand merci a vous tous

Reply

Condition IF ne fonctionne pas.

Sujets relatifs:

Leave a Replay