Salut tout le monde,
 
Je suis en train de tester un script trouver dans un tuto php pour faire un système de connexion-identification des utilisateurs d'un site. J'ai eu beau cherché je ne vois pas pourquoi ça ne fonctionne pas.
 
Quand je tape un login et un mot de passe au hazard (donc faux) la réponse est : "Félicitation {login} vous êtes maintenant connecté!"  
 
Ce qui est très gênant pour un script d'authentification s'il laisse rentrer n'importe qui.    
 
Je vous poste tous les morceaux de code que j'utilise (au cas ou une bêtise m'aura échappé). Si une grosse faute vous saute aux yeux prévenez moi que j'essaie de régler le problème.
 
Le code SQL de création de ma table

 
Le code de la page connexion.html :

 
Le code de la page verifpass.php chargé de la vérification du couple login/password :

 
Pour finir le code de la page param.inc.php qui fabrique la signature du mot de passe:

 
Je ne vois vraiment pas d'où peut venir le dysfonctionnement, mais comme c'est mon premier test d'authentification des utilisateurs je ne m'attendais pas vraiment à ce que ça fonctionne du premier coup.
 
Merci du temps que vous avez pris pour lire ce message.

A première vue, tu fais une requête SQL mais tu traites absolument pas le résultat. La requête peut tout aussi bien renvoyer 0 ou un résultat que ton script agit pareil. Donc vu que le résultat de la requête est jamais vérifié et qu'il n'y a pas de message autre que "Félicitations vous êtes loggués" ça peut pas vraiment te dire autre chose.
 
Sinon je vois mal l'intérêt du SELECT COUNT(*). Perso je ferais un SELECT normal, puis un mysql_num_rows pour connaître le nombre de lignes renvoyées

On m'a proposé cela comme solution:

 
Mais si j'introduis un couple login/password incorrecte j'obtiens une belle page toute blanche. Par si si je tape correctement l'identifiant et le mot de passe, j'ai le fameux message "Félicitations {login}...".
 
D'où ça peut venir?

Peut-être parce que tu fais ton test dans un "while". Donc si ton "$surnom" n'existe pas dans ta base, tu n'entres pas dans la boucle...
 
Sinon :
- tu n'as pas besoin d'un "while" : a priori, si tu as plusieurs utilisateurs avec le même login / mdp, c'est un peu douteux => mysql_num_rows est suffisant pour le test. (si 0 erreur, si 1 ok (et si > 1 )
- dans ta requête, tu ne recherches que le "surnom". Il serait bien de vérifier le mot de passe, tant qu'à faire  
- pourquoi faire un select * ? Tu as vraiment besoin de récupérer le mot de passe ? J'en doute un peu. L'identifiant et le surnom devraient te suffire.

Il faut récupérer le mot de passe pour le vérifier.

sinon tu as plus simple et plus performant, la méthode de WiiDs :

$sql = "SELECT machin FROM users WHERE login = '$tonlogin' AND pass = '$tonpass'";
$query = mysql_query($sql);
 
if(!$query) {
   // bla bla bla query failed
}
 
if(mysql_num_rows($query)) {
  // connexion réussie
} else {
  // échec de la connexion (login OU mdp incorrect)
}

En effet cela fonctionne correctement maintenant, merci à tous. Il me reste toutefois quelques questions à propos de la connexion.
 
Comment faire que pour chaque page du site (ou du moins celles que je veux protéger) vérifie que l'utilisateur c'est bien identifié à un moment donné (on va pas lui demander de s'identifier à chaque changement de page non plus )?
 
Et ensuite comment fait-on pour bloquer ou libérer l'accès à ces pages en fonction de la réponse de la vérification de l'identification?
 
Navré de vous ennuyer avec ça mais c'est la première authentification que j'installe sur un site, donc je ne maitrise pas du tout le sujet.

il y a pas mal de choses sur le net à ce sujet
 
pour faire ce que tu veux, tu devrais utiliser les sessions
ça ressemblerait à ça (en gros) :

// connexion
if(login_et_pass_correct)
{
    $_SESSION['connected'] = true;
}
 
// déconnexion
$_SESSION['connected'] = false;
 
// page privée
if($_SESSION['connected'] !== true)
{
    header('location: acces/non/autorise.php');
    exit();
}
 
// reste de la page

Cookies ou sessions PHP, au choix.
 
Par contre, Luc@s, dans ton code, il faut remplacer

par

les deux fonctionnent
 
et sinon, mieux vaut utiliser les sessions pour ce genre de choses

La syntaxe !== compare aussi le type de donnée, il vaut donc mieux utiliser !=, la première syntaxe n'étant pas approrpiée dans le cas présent.

merci je sais dans mon exemple j'ai utilisé que des booléans, donc... bref

Merci pour vos réponses.
 
$_SESSION['login'] = $surnom;     // $sceau c'est le mot de passe
 
Je suis en train de tester cette technique mais pour l'instant cela ne fonctionne pas.  
 
Sur ma page verifpass.php :

while($data = mysql_fetch_array($req))
   {
        $bpass = $data['VERROU'];
        if($sceau != $bpass)
            {
        $_SESSION['connected'] = false;
                echo "Erreur de mot de passe";
        echo "<a href=\"page-protegee.php\" target=\"_blank\">test de la page</a>";
            }
        else
            {
        $_SESSION['connected'] = true;
        echo "<p>F&eacute;licitations ".(htmlentities($surnom))." vous &ecirc;tes connect&eacute;.</p><br /><br />\n";
        echo "<a href=\"index.html\">Retour &agrave; l'accueil</a><br />\n";
        echo "<a href=\"page-protegee.php\">test de la page</a>";
            }
    }

 
et sur la page 'page-protegee.php' :

<?php
if($_SESSION['connected'] !== true)
{
   header('location: acces/non/autorise.php');
   exit();
}?>
<p>Ceci est une page protégée. Si vous accédez à cette page sans vous être identifié, c'est que le script ne fonctionne pas.</p>

 
Quand je mets un login/password valide et que je clique sur le lien vers la page protégée, j'ai le message d'erreur que je devrais avoir si je n'étais pas identifié : "The requested URL /essais/securite/acces/non/autorise.php was not found on this server."
 
Ai-je oublié quelque chose?

tu ne comprends pas ce que tu fais surtout.
Apprends les bases et essaye de comprendre ce que tu fais

+1.
 
En copiant collant du code ça finira toujours par foirer dans le pire des cas ou bien être bourré de failles de sécurité dans le pire des cas.