Connexion mot de passe crypté sha1

Question

Bonjour

Après avoir fait l'inscription, je développe la connexion. Mais je rencontre un problème avec le mot de passe. Je l'ai crypté en sha1.

Mais lorsque de la connexion, j'aimerais qu'il vérifie l'identifiant ET le mot de passe. Etant donné que dans la base de données le mot de passe est crypté, il ne le reconnait pas.
Si j'enlève dans la requête SQL la vérification du mot de passe, tout marche mais le problème est que si quelqu'un met l'identifiant de l'administrateur SANS mot de passe, il se connecte !!!

Je vous mets le code :

$champ = sha1($_POST['champ']);

$query mysql_query("SELECT champ FROM table WHERE champ_bdd '$champ'  ") or die('message d'erreur'.mysql_error()); 


Alors ma question est : Comment reconnaître le mot de passe converti en sha1 dans la base de données depuis le formulaire ?

En attendant, je continue mes recherches...
Cordialement

omlaly · Answer

En relisant tout, j'ai vu qu'en faisant un copier/coller, j'ai supprimé un truc dans le code !

Alors, le vrai code, c'est :

$champ = sha1($_POST['champ']);


$query mysql_query("SELECT champ FROM table WHERE champ_bdd '$champ' AND champ_bdd = '$champ'  ") or die('message d'erreur'.mysql_error()); 


Désolé

omlaly · Answer

Ce n'est pas la requête qui plante car ça n'affiche pas le message d'erreur. Après cette requête, j'ai fait un test : if(mysql_num_rows($query) == 1){ echo "Vous êtes authentifié. Merci..."; } else // Test si l'utilisateur est inscrit - réponse négative echo "Vous n'êtes pas inscrit. Merci de vous inscrire."; } Ca ne passe pas par le premier test (message : vous n'êtes pas authentifié. Merci...) mais ça passe directement au else ! Dans la base de données, il y a bien l'utilisateur !!! Quelqu'un voit où est le problème ?

NHenry · Answer

Bonjour, 

Il te suffit de hasher le mdp, puis de comparer la valeur hashée.

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

Merci mais comment ?
Peux-tu me donner un exemple STP ?

En attendant, je vais me pencher la dessus...
Cordialement

omlaly · Answer

En recherchant, j'ai vu que la méthode grain de sel : 
    $grain = 'ce qu'on veut';
$mdp = $_POST['champ'];
    $sel = 'ce qu'on veut';
    $sha1 = sha1($grain.$mdp.$sel);


protégait mieux que la méthode sha1 :
	// define('PREFIXE_SHA1', 'p8%B;Qdf78');
// $mdp = $_POST['champ'];
// $mdp_sha1 = sha1(PREFIXE_SHA1.$champ);


Est-ce que c'est vrai ?

Comment faire pour hasher le mdp, puis de comparer la valeur hashée ? J'ai testé des trucs mais quand j'essaye ça ne marche pas...

En attendant vos réponses, je continue mes recherches en espérant trouvé...
Cordialement

omlaly · Answer

C'est pas avec l'aide de la fonction PHP crypt ?

Cordialement

omlaly · Answer

J'ai essayé cette requête mais ça ne marche toujours pas :


$query = mysql_query("SELECT * FROM table WHERE champ_bdd='".$identifiant_connexion."' AND champ_bdd_mdp = '".sha1($_POST['$password_connexion'])."'") or die('Erreur lors de la connexion'.mysql_error());


Si quelqu'un pourrait me dire la marche à suivre, ce serait sympa...
Cordialement

omlaly · Answer

J'ai avancé. Maintenant, le problème c'est que la chaîne de caractères du mot de passe crypté n'est pas la même dans la base de données et sur le site.
Quand je vais dans la base de données (phpmyadmin), la chaine de caractères du mot de passe est :
 4228edfb978ba56aa49e800964af3e5e8497540d
Quand je fais le test à partir du site, il me met cette erreur MySQL :
Erreur lors de la connexionYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '4062131c67aa967ebe1481fca43abc8832349911')'' at line 1

J'en conclue donc que les deux ne sont pas identiques (pourtant j'essaye avec les mêmes données). Est-ce qu'il faut donc au préalable faire un test pour lui faire comprendre qu'il faut "relier" les deux chaines de caractères ? Si oui, comment ? Si ce n'est pas le cas, comment faire ?

En attendant, je continue mes recherches en espérant arriver à mes fins...
Cordialement

NHenry · Answer

Bonjour, 

Quelle est la chaine SQL exécutée (affichée avec un echo par exemple) ?

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

NHenry, la requête SQL est :

mysql_query("SELECT * FROM user WHERE user_pseudo='".$identifiant_connexion." AND user_mdp=sha1('".$password_connexion_crypte."')'") or die('Erreur lors de la connexion'.mysql_error());

Cordialement

NHenry · Answer

Bonjour, 

Je te parles de la requête executée, pas de la manière dont elle est construite :
$lSQL="SELECT * FROM user WHERE user_pseudo='".$identifiant_connexion." AND user_mdp=sha1('".$password_connexion_crypte."')'";
Echo lSQL;
mysql_query(lSQL) or die('Erreur lors de la connexion'.mysql_error());

Enfin en fion de requête : 
"')'"
Il y a pas un ' en trop ou mal placé ?

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

J'ai essayé avec ta requête SQL et ça ne me met pas le message d'erreur de la requête SQL.

Quand j'essaye sur le site, ça me met l'erreur suivante :
Erreur lors de la connexionYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '4cf997735475afd79f8711e22efaa9d306294785')'' at line 1

Quand je vais sur la base de données via phpmyadmin, le mot de passe crypté en sha1 est :
 4228edfb978ba56aa49e800964af3e5e8497540d

Ce n'est pas le même alors que c'est pour le même utilisateur de test. A mon avis, c'est pour cette raison que ça ne marche pas, il faudrait que ça soit les mêmes chaines de caractères pour un utilisateur sur la base de données et à partir du site. Je ne sais pas comment on fait. Si j'enregistre le mot de passe pas crypté dans la base de données, tout marche. C'est vraiment, je pense, un problème de lecture de mots de passe cryptés dans la base de données.

Qu'est-ce que vous en pensez ?

En attendant vos réponses, je continue mes recherches...
Cordialement

NHenry · Answer

Bonjour,

Quelle est la requête SQL executée (celle qui s'affiche sur la page WEB (avec le echo) ?

Pour information, j'ai juste repris ta requête, je n'ai rien modifié.
Est-tu sûr que le calcul du mdp hashé est bien le même pour la création et la recherche ?

omlaly · Answer

Bonjour,

Merci de ta réponse.

Sur la page du traitement du formulaire d'inscription, j'ai utilisé le code suivant pour protéger le mot de passe saisi :

	
define('PREFIXE_SHA1', 'p8%B;Qdf78');
$mdp = $_POST['password_connexion'];
$mdp_sha1 = sha1(PREFIXE_SHA1.$password_connexion);


Est-ce que tu peux me donner un exemple complet d'un formulaire de connexion avec un mot de passe crypté en SHA1 dans la base de données pour que je puisse comparer et faire en sorte que l'utilisateur puisse se connecter STP ?

Merci d'avance.

En attendant vos réponses, je continue de chercher en espérant trouvé...

Cordialement

omlaly · Answer

Bonjour,

J'ai réglé le problème du mot de passe. Maintenant, le mot de passe entré sur le site et celui qui est dans la base de données sont les mêmes. Maintenant en testant le site, j'obtiens une erreur SQL à partir du site :
Erreur lors de la connexionYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Nom AND user_mdp=da39a3ee5e6b4b0d3255bfef95601890afd80709' at line 1

où Nom est l'identifiant et da39a3ee5e6b4b0d3255bfef95601890afd80709 le cryptage du mot de passe.

En regardant sur la base de données, les chaînes de caractères du mot de passe sont identiques.
Désormais, je pense que c'est l'identifiant qui pose problème car j'essaye de me connecter avec un identifiant que j'ai inscris auparavant. A noter que j'autorise les espaces dans l'identifiant. L'erreur indique que c'est ce qu'il y a après l'espace qui pose problème, par exemple : prenons un identifiant : Prénom Nom, l'erreur se trouve à partir du N de Nom.

En attendant vos réponses, je continue mes recherches...
Cordialement

omlaly · Answer

Ce qui m'inquiète, c'est que quelque soit le mot de passe saisi, il a le même cryptage :

 da39a3ee5e6b4b0d3255bfef95601890afd80709

C'est normal ?
Cordialement

NHenry · Answer

Bonjour,

Cela fait plusieurs fois que je te demande la requête SQL complète telle qu'elle est exécutée, pas sa construction (donc avec les remplacements réels).
Je t'ai même passé un exemple de "comment afficher la chaine en question sur la page web".
Je pense que tu as un problème avec les ' mais sans la requête réellement exécutée, difficile de te répondre.

omlaly · Answer

Je te donne mes deux requêtes SQL (insertion et sélectionnement) :

Voici la requête d'insertion :

$query = mysql_query("INSERT INTO user VALUE('', '', '$pseudo','$password_inscription_sha1', '', '','$email','','','','','')")or die('Erreur lors de l\'insertion !
'.mysql_error()); // Envoie une requête à un serveur MySQL
 qui marche
avec

$password_inscription_sha1 = sha1($password_inscription);


Voici la requête pour sélectionner un membre :

$query = mysql_query("SELECT user_pseudo FROM user WHERE user_pseudo=".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1."") or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL

avec

$password_connexion_sha1 = mysql_real_escape_string(htmlspecialchars(stripcslashes(sha1($_POST['$password_connexion']))));


Voila, lors de l'inscription, ça crypte le mot de passe comme ça :
da39a3ee5e6b4b0d3255bfef95601890afd80709


et lors de la connexion, ça me met le message d'erreur sur le site :

Erreur lors de la connexionYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'AND user_mdp=da39a3ee5e6b4b0d3255bfef95601890afd80709' at line 1


Cordialement

omlaly · Answer

Je te mets aussi le code (si mysql retourne au moins un enregistrement) de la page connexion.php if(mysql_num_rows($query) == 1){ echo "Vous êtes authentifié. Merci..."; // Déposer un cookie pour gérer la checkbox "Se souvenir du profil" if(isset($_POST['se_souvenir_de_moi'])){ setcookie("cookiepseudo", $_POST['identifiant_connexion'], time()+60*60*24*100, "/"); setcookie("cookiepassword", $_POST['password'], time()+60*60*24*100, "/"); } else { setcookie("cookiepseudo","" , NULL, "/"); setcookie("cookiepassword","" , NULL, "/"); } } else { // Test si l'utilisateur est inscrit - réponse négative echo "Vous n'êtes pas inscrit. Merci de vous inscrire."; } } Cordialement

NHenry · Answer

Bonjour, 

Erreur lors de la connexionYou have an error in your SQL syntax;

Tu as une erreur dans ta chaine SQL exécutée.
Cela fait plusieurs fois que je te demande une requête réellement exécutée.
Genre : 
SELECT ...Nom...da39...

Tu peux l'avoir en affichant avec un echo sur ta page, il faut juste modifier :
$query = mysql_query("SELECT user_pseudo FROM user WHERE user_pseudo=".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1."") or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL
En :
$lSQL="SELECT user_pseudo FROM user WHERE user_pseudo=".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1."";
echo $lSQL;
$query = mysql_query(lSQL) or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL

Cela te permettras aussi de faciliter la modification des requêtes SQL.
De plus, avec cette raquête complere, tu pourras vérifier directement dans PHPMyAdmin si elle est correcte et la corriger en conséquence.

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

Ca ne marche toujours pas pourtant c'est le même mot de passe qu'il y a sur le site et dans la base de données :


da39a3ee5e6b4b0d3255bfef95601890afd80709


Faut-il pas faire un test en PHP pour lui dire : si tu trouve le même mot de passe dans la base de données et sur le site alors tu te connecte sinon non ?

Sur phpmyadmin, la requête ne marche pas.

C'est un problème de requête SQL, si je stocke les mots de passe en clair dans la base de données, tout marche.

Cordialement

NHenry · Answer

Bonjour, 

Sur phpmyadmin, la requête ne marche pas. 
Donc, quelle est la requête en cause ? (celle testée)

Je pense que le pb est dans les '

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

J'ai testé sur phpmyadmin la requête suivante : SELECT user_pseudo FROM user WHERE user_pseudo=".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1." et ça ma affiché le code PHP suivant : $sql = "SELECT user_pseudo FROM user WHERE user_pseudo=".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1.""; Donc, j'ai copié la requête SQL dans mon fichier PHP de la connexion. J'ai essayé, alors maintenant il me met plus d'erreur donc l'identifiant et le cryptage du mot de passe ça à l'air d'être bon mais il me dit : Vous n'êtes pas inscrit. Merci de vous inscrire. alors que dans la base de données l'utilisateur y est avec un mot de passe comme ça : da39a3ee5e6b4b0d3255bfef95601890afd80709 Je pense que c'est le test qui bug, je te le met : if(mysql_num_rows($query) == 1){ echo "Vous êtes authentifié. Merci..."; // Déposer un cookie pour gérer la checkbox "Se souvenir du profil" if(isset($_POST['se_souvenir_de_moi'])){ setcookie("cookiepseudo", $_POST['identifiant_connexion'], time()+60*60*24*100, "/"); setcookie("cookiepassword", $_POST['password'], time()+60*60*24*100, "/"); } else { setcookie("cookiepseudo","" , NULL, "/"); setcookie("cookiepassword","" , NULL, "/"); } } else { // Test si l'utilisateur est inscrit - réponse négative echo "Vous n'êtes pas inscrit. Merci de vous inscrire."; } } Qu'est ce que tu en penses ? Cordialement

omlaly · Answer

J'ai l'impression qu'il ne transforme pas en sha1 le mot de passe saisi et donc ne passe pas par : echo "Vous êtes authentifié. Merci..."; mais directement dans le else : // Test si l'utilisateur est inscrit - réponse négative echo "Vous n'êtes pas inscrit. Merci de vous inscrire."; A noter qu'auparavant, j'ai mis : $password_connexion_sha1 = mysql_real_escape_string(htmlspecialchars(stripcslashes(sha1($_POST['$password_connexion'])))); Est-ce que tu crois que c'est ça ? Cordialement

omlaly · Answer

J'ai rajouté une condition sans succès dans le if, le voici :

if(mysql_num_rows($query) 1&&sha1($_POST['$password_connexion_sha1']) $data['user_mdp'])


Dans des forums, j'ai vu qu'il y avait cette condition mais je ne sais pas s'il comprend que quand il y avait $data, il faut qu'il aille une donnée dans la base de données.

Toute façon, ça ne marche pas.

Qu'est-ce que tu en penses ?

Cordialement

NHenry · Answer

Bonjour, 

Si tu as modifié le code comme conseillé et que tu as affiché la requête SQL comme demandé, exécutes-la, car si tu tentes d&#8217;exécuter directement la ligne de code dans PHPMyAdmin, ça ne pourras pas fonctionner.

En l'état, je te demandes la chaine réellement exécutée, pas sa construction.
SELECT user_pseudo FROM user WHERE user_pseudo=".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1."
C'est la construction de la chaine, pas son résultat une fois interprétée.
Tu devrais avoir une chaine qui esty visible au moins dans le code source de la page donnant la requête SQL executée.

En l&#8217;état, je reposterais quand il y aura la chaine en question.

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

Bonjour, Sur la page d'inscription : $pseudo=mysql_real_escape_string(htmlspecialchars(stripcslashes(($_POST['pseudo'])))); $password_inscription_sha1 = mysql_real_escape_string(htmlspecialchars(stripcslashes(sha1($_POST['$password_inscription'])))); $email=mysql_real_escape_string(htmlspecialchars(stripcslashes(($_POST['email'])))); $query mysql_query("SELECT user_id FROM user WHERE user_pseudo '$pseudo'") or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL if(mysql_num_rows($query) == 1){ // Pseudo déjà utilisé echo "Ce pseudo est déjà utilisé. Veuillez en utiliser un autre."; } else { // Pseudo libre // Enregistrement des valeurs dans la base de données $query = mysql_query("INSERT INTO user VALUE('', '', '$pseudo','$password_inscription_sha1', '', '','$email','','','','','')")or die('Erreur lors de l\'insertion ! '.mysql_error()); // Envoie une requête à un serveur MySQL echo ('Vous êtes désormais incrit, un mail vient de vous être envoyé !!! Merci...'); } Sur la page de connexion : $identifiant_connexion=mysql_real_escape_string(htmlspecialchars(stripcslashes($_POST['$identifiant_connexion']))); $password_connexion_sha1 = mysql_real_escape_string(htmlspecialchars(stripcslashes(sha1($_POST['$password_connexion'])))); // Sélectionnement de l'utilisateur désiré dans la base de données $query = mysql_query("SELECT user_pseudo FROM user WHERE user_pseudo=".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1."") or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL // Test si l'utilisateur est inscrit - réponse positive if(mysql_num_rows($query) == 1) { // mysql_num_rows retourne le nombre de lignes d'un résultat MySQL echo "Vous êtes authentifié. Merci..."; // Déposer un cookie pour gérer la checkbox "Se souvenir du profil" if(isset($_POST['se_souvenir_de_moi'])){ setcookie("cookiepseudo", $_POST['identifiant_connexion'], time()+60*60*24*100, "/"); setcookie("cookiepassword", $_POST['password'], time()+60*60*24*100, "/"); } else { setcookie("cookiepseudo","" , NULL, "/"); setcookie("cookiepassword","" , NULL, "/"); } } else { // Test si l'utilisateur est inscrit - réponse négative echo "Vous n'êtes pas inscrit. Merci de vous inscrire."; } } Voilà les codes, tout marche (aucun message d'erreur de mysql_error) sauf que lors de la connexion ça ne passe pas à : if(mysql_num_rows($query) == 1) { // mysql_num_rows retourne le nombre de lignes d'un résultat MySQL echo "Vous êtes authentifié. Merci..."; // Déposer un cookie pour gérer la checkbox "Se souvenir du profil" if(isset($_POST['se_souvenir_de_moi'])){ setcookie("cookiepseudo", $_POST['identifiant_connexion'], time()+60*60*24*100, "/"); setcookie("cookiepassword", $_POST['password'], time()+60*60*24*100, "/"); } else { setcookie("cookiepseudo","" , NULL, "/"); setcookie("cookiepassword","" , NULL, "/"); } } mais directement à : { // Test si l'utilisateur est inscrit - réponse négative echo "Vous n'êtes pas inscrit. Merci de vous inscrire."; } Donc en résumé, même si l'utilisateur est dans la base de données (je le vois via phpmyadmin), il me dit "Vous n'êtes pas inscrit. Merci de vous inscrire". Tu as tout les codes ! Est-ce que tu vois ce qu'il ne va pas ? Cordialement

NHenry · Answer

Bonjour, 

Je te parles du codes source généré par PHP.

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

C'est-à-dire, tu veux dire le code source de la page que tout le monde peux voir (via le navigateur) ? Ca doit pas être ça car c'est pas du php. Ou le code généré dans phpmyadmin ?

Mais j'ai l'impression qu'il ne passe pas dans le if de mysql_num_rows, il passe directement dans le else.

Cordialement

NHenry · Answer

Bonjour, 

Le code généré par PHP pour faire du HTML affiché par le navigateur, donc oui, le code affichable coté client.

Ce que je désire avoir, c'est la requête SQL réellement exécutée (qui avec le "echo" est dans le code généré), pas sa construction (visible dans le code PHP).

Je penses que le pb vient de la requête.

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

Bonjour En mettant un echo comme ça : echo $query; entre ça : $query = mysql_query("SELECT user_pseudo FROM user WHERE user_pseudo=".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1."") or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL et ça : if(mysql_num_rows($query) == 1) { // mysql_num_rows retourne le nombre de lignes d'un résultat MySQL echo "Vous êtes authentifié. Merci..."; if(isset($_POST['se_souvenir_de_moi'])){ setcookie("cookiepseudo", $_POST['identifiant_connexion'], time()+60*60*24*100, "/"); setcookie("cookiepassword", $_POST['password'], time()+60*60*24*100, "/"); } else { setcookie("cookiepseudo","" , NULL, "/"); setcookie("cookiepassword","" , NULL, "/"); } } ça donne si l'utilisateur essaie de s'identifier sans s'être inscrit auparavant ça : Resource id #3 Vous n'êtes pas inscrit. Merci de vous inscrire. Je ne sais pas pourquoi il me met Resource id #3, l'utilisateur n'est pas dans la base de données. ça donne la même chose si l'utilisateur essaie de s'identifier après s'être inscrit. En mettant un echo comme ça : echo $query; après ça : if(mysql_num_rows($query) == 1) { // mysql_num_rows retourne le nombre de lignes d'un résultat MySQL echo "Vous êtes authentifié. Merci..."; // Déposer un cookie pour gérer la checkbox "Se souvenir du profil" if(isset($_POST['se_souvenir_de_moi'])){ setcookie("cookiepseudo", $_POST['identifiant_connexion'], time()+60*60*24*100, "/"); setcookie("cookiepassword", $_POST['password'], time()+60*60*24*100, "/"); } else { setcookie("cookiepseudo","" , NULL, "/"); setcookie("cookiepassword","" , NULL, "/"); } Quelque soit le résultat de la requête SQL (si l'utilisateur est inscrit ou pas), ça affiche sans le Resource id #3 : Vous n'êtes pas inscrit. Merci de vous inscrire. Cordialement

omlaly · Answer

Quand je fais un copier/coller de la requête SQL dans phpmyadmin, donc de : SELECT user_pseudo FROM user WHERE user_pseudo=".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1.\ PHPMyadmin me renvoie l'erreur suivante : debug : #1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1.\' at line 1{"success":false,"error":" #1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\".$identifiant_connexion.\" AND user_mdp=\".$password_connexion_sha1.\' at line 1"} Je peux le comprendre car il ne voit pas les zones de texte à partir de phpmyadmin. Mais, cette requête l'autre jour j'avais fait un copier/coller sur le code PHP et il n'y avait plus aucune erreur de mysql_error. Le problème reste qu'il ne passe pas dans la boucle : if(mysql_num_rows($query) == 1) { // mysql_num_rows retourne le nombre de lignes d'un résultat MySQL echo "Vous êtes authentifié. Merci..."; // Déposer un cookie pour gérer la checkbox "Se souvenir du profil" if(isset($_POST['se_souvenir_de_moi'])){ setcookie("cookiepseudo", $_POST['identifiant_connexion'], time()+60*60*24*100, "/"); setcookie("cookiepassword", $_POST['password'], time()+60*60*24*100, "/"); } Cordialement

omlaly · Answer

Sur phpmyadmin, la requête suivante marche, elle retourne aucun résultat :
SELECT user_pseudo FROM user WHERE user_pseudo="$identifiant_connexion" AND user_mdp="$password_connexion_sha1"

tandis que sur PHP si je fais un copier/coller de cette requête donc au final ça donne ça :

$query = mysql_query("SELECT user_pseudo FROM user WHERE user_pseudo="$identifiant_connexion" AND user_mdp="$password_connexion_sha1"") or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL


Squr le site, ça me met l'erreur suivante :

Parse error: syntax error, unexpected T_VARIABLE in /homez.506/vincentsg/www/acces4roues/connexion_acces4roues.php on line 28


J'ai l'impression que la requête marche d'un côté mais ne marche ps de l'autre.

Cordialement

NHenry · Answer

Bonjour,

Le but est d'afficher la requête SQL, pas son résultat :

Pour :
$query = mysql_query("SELECT user_pseudo FROM user WHERE user_pseudo=".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1."") or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL

Il faut afficher le résultat après remplacement de :
"SELECT user_pseudo FROM user WHERE user_pseudo=".$identifiant_connexion." AND user_mdp=".$password_connexion_sha1.""
Donc pas la valeur de $query.

Donc faire un code du genre :
$ReqSql="SELECT ...";
echo $ReqSql;
$query=mysql_query($ReqSql);
//...

Concernant le code :
$query = mysql_query("SELECT user_pseudo FROM user WHERE user_pseudo="$identifiant_connexion" AND user_mdp="$password_connexion_sha1"") or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL

ton séparateur de chaine SQL est le même que pour ta chaine PHP, donc conflit.

omlaly · Answer

J'ai trouvé une requête qui marche des deux côtés mais ça ne marche toujours pas, c'est :


SELECT user_pseudo FROM user WHERE user_pseudo='$identifiant_connexion' AND user_mdp='$password_connexion_sha1'


En PHP, je l'ai écrit comme ça :


$query = mysql_query("SELECT user_pseudo FROM user WHERE user_pseudo='$identifiant_connexion' AND user_mdp='$password_connexion_sha1'") or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL


Cordialement

omlaly · Answer

Quand je fais ça : $ReqSql="SELECT user_pseudo FROM user WHERE user_pseudo='$identifiant_connexion' AND user_mdp='$password_connexion_sha1'" or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL echo $ReqSql; $query=mysql_query($ReqSql); // Test si l'utilisateur est inscrit - réponse positive if(mysql_num_rows($query) == 1) { // mysql_num_rows retourne le nombre de lignes d'un résultat MySQL echo "Vous êtes authentifié. Merci..."; // Déposer un cookie pour gérer la checkbox "Se souvenir du profil" if(isset($_POST['se_souvenir_de_moi'])){ setcookie("cookiepseudo", $_POST['identifiant_connexion'], time()+60*60*24*100, "/"); setcookie("cookiepassword", $_POST['password'], time()+60*60*24*100, "/"); } else { setcookie("cookiepseudo","" , NULL, "/"); setcookie("cookiepassword","" , NULL, "/"); } } else { // Test si l'utilisateur est inscrit - réponse négative echo "Vous n'êtes pas inscrit. Merci de vous inscrire."; } } else { echo ""; for($i=0;$i Sur le site, j'ai ce mot : SELECT user_pseudo FROM user WHERE user_pseudo='' AND user_mdp='da39a3ee5e6b4b0d3255bfef95601890afd80709' Vous n'êtes pas inscrit. Merci de vous inscrire. Sur phpmyadmin quand je fais cette requête, ça fait : MySQL a retourné un résultat vide (aucune ligne). ( Traitement en 0.0005 sec )

omlaly · Answer

A mon avis, c'est la requête qui ne va pas car en faisant cette requête :

SELECT user_pseudo FROM user WHERE user_pseudo='$identifiant_connexion' AND user_mdp='$password_connexion_sha1'

des deux côtés (sur phpmyadmin et sur le site), ça me renvoie sur le site :

Vous n'êtes pas inscrit. Merci de vous inscrire.


et sur phpmyadmin :

MySQL a retourné un résultat vide (aucune ligne). ( Traitement en 0.0075 sec )


Pourtant dans la base de données, il y a bien l'utilisateur :

Affichage des lignes 0 - 0 ( ~1 total , Traitement en 0.0008 sec)

NHenry · Answer

Bonjour,

En regardant rapidement :
SELECT user_pseudo FROM user WHERE user_pseudo='' AND user_mdp='da39a3ee5e6b4b0d3255bfef95601890afd80709'
Je penses que le pb vient de 
user_pseudo=''
Qui laisse penser que
$identifiant_connexion 
est vide.

omlaly · Answer

Bonjour, Quand je mets ce code : $ReqSql="SELECT user_pseudo FROM user WHERE user_pseudo='$identifiant_connexion' AND user_mdp='$password_connexion_sha1'" or die('Erreur lors de la connexion'.mysql_error()); // Envoie une requête à un serveur MySQL echo $ReqSql; // Test si l'utilisateur est inscrit - réponse positive if(mysql_num_rows($ReqSql) == 1) { // mysql_num_rows retourne le nombre de lignes d'un résultat MySQL // Essai trouvé sur cette adresse : http://www.siteduzero.com/forum-83-611358-p1-verifier-mot-de-passe-deja-crypte.html echo "Vous êtes authentifié. Merci..."; // Déposer un cookie pour gérer la checkbox "Se souvenir du profil" (technique trouvée sur http://dreamgratuit.canalblog.com/archives/2008/10/23/11074508.html) if(isset($_POST['se_souvenir_de_moi'])){ setcookie("cookiepseudo", $_POST['identifiant_connexion'], time()+60*60*24*100, "/"); setcookie("cookiepassword", $_POST['password'], time()+60*60*24*100, "/"); } else { setcookie("cookiepseudo","" , NULL, "/"); setcookie("cookiepassword","" , NULL, "/"); } } else { // Test si l'utilisateur est inscrit - réponse négative echo "Vous n'êtes pas inscrit. Merci de vous inscrire."; } } Sur le site, ça m'affiche ça : SELECT user_pseudo FROM user WHERE user_pseudo='' AND user_mdp='da39a3ee5e6b4b0d3255bfef95601890afd80709' Warning: mysql_num_rows() expects parameter 1 to be resource, string given in ... on line 31 Vous n'êtes pas inscrit. Merci de vous inscrire. Je comprends pas pourquoi il y a : user_pseudo='' car sur le code PHP, je mets : WHERE user_pseudo='$identifiant_connexion' avec ça pour tout protéger : $identifiant_connexion=mysql_real_escape_string(htmlspecialchars(stripcslashes($_POST['$identifiant_connexion']))); $password_connexion_sha1 = mysql_real_escape_string(htmlspecialchars(stripcslashes(sha1($_POST['$password_connexion'])))); Je te met le code HTML du champs: " /> Cordialement

omlaly · Answer

J'ai réglé le message d'erreur c'était normal j'avais oublié mysql_query mais il y a toujours le même problème.

Cordialement

NHenry · Answer

Bonjour, 

$identifiant_connexion=mysql_real_escape_string(htmlspecialchars(stripcslashes($_POST['$identifiant_connexion'])));
Si $identifiant_connexion est vide, c'est vraisemblablement que $_POST['$identifiant_connexion'] est vide.
Pourquoi un nom avec un $ dans le nom du champ de la form ?

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

Bonjour, 

Ca y est, ça marche, j'ai réussi !!!!!!!!!!

Voici les codes :

page inscription :

$password_inscription_sha1 = mysql_real_escape_string(htmlspecialchars(stripcslashes(sha1("C7wA9bYm".$_POST['password_inscription']))));


page connexion :

$password_connexion_sha1 = mysql_real_escape_string(htmlspecialchars(stripcslashes(sha1("C7wA9bYm".$_POST['password_connexion']))));


Est-ce que c'est bien protégé ? Si non, quelle améliorations je pourrais faire pour optimiser la protection ?

Cordialement

NHenry · Answer

Bonjour, 

La fonction sah1 te retournera déjà une chaine clean, pas besoin de faire les fonctions de protections htmlspecialchars & co.

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

Bonjour

Ok mais si je laisse comme ça, ça va ? Ca n'enlève pas la protection du sha1 ?

Cordialement

NHenry · Answer

Bonjour, 

Non, pas de soucis, c'est juste que les appels aux fonctions ralentiront un peu le script PHP, mais n&#8217;apporteront pas de sécurité supplémentaire, mais rien de grave.

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

Bonjour,

OK, je laisse comme ça.

Petite question qui n'a plus rien à voir avec ça : j'attaque les variables de session pour véhiculer des informations dans toutes les pages (surtout pour ne pas perdre la connexion du membre.

Dans la page de connexion, j'ai rajouté ça pour enregistrer l'identifiant, le mot de passe et l'adresse mail du membre :

// Sessions - $_SESSION = Variables de session
$_SESSION['identifiant_connexion'] = $identifiant_connexion; 
$_SESSION['password_connexion'] = $password_connexion; 
$_SESSION['email'] = $email;


Jusque là c'est bon ?

Après, je voudrais récupérer les informations sur une page que j'ai découpé en trois parties (header, partie droite et partie gauche) (j'ai rassemblé les informations pour que ça soit plus simple à gérer dans le futur comme le CSS).
Donc, je le fais dans le fichier header mais je n'arrive pas à faire que les variables soient transmises entre plusieurs pages.

Peux-tu me donner un exemple STP pour que je m'en inspire ?

Merci d'avance
Cordialement

NHenry · Answer

Bonjour, 

Je ne maitrise pas vraiment les sessions, désolé.

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

Bonjour,

C'est pas grave.

Sinon, j'ai une autre question :
Je souhaiterais mettre du code JAVASCRIPT dans un echo en PHP, c'est possible ?

Je t'explique :

Cette fonction JAVASCRIPT a pour but d'afficher un div pour remplacer l'autre div.

En fait, j'ai une fenêtre POP-UP avec un formulaire de connexion sur laquelle après trois tentatives, j'affiche un message "Vous avez effectuer au moins trois tentatives de connexion. Mot de passe perdu ?", jusque là, c'est bon !!!

Je voudrais que quand l'utilisateur clique sur "Mot de passe perdu ?", le formulaire de connexion se masque et que le formulaire de récupération du mot de passe s'affiche.

Mon problème est de savoir si c'est possible d'appeler une fonction JAVASCRIPT depuis un echo en PHP.

Je te donne mon code (qui marche pas ; ça m'affiche juste ça : " au lieu de remplacer le div "formulaire_connexion" par le div "formulaire_connexion_recuperation_password" .

echo '<script type="text/javascript">document.getElementById("formulaire_connexion").style.display="none"; document.getElementById("formulaire_connexion_recuperation_password").style.display="block";><center>Vous avez effectuer au moins trois tentatives de connexion.
Mot de passe perdu ?</center></script> "';

As tu une idée ?

En attendant ta réponse, je continue mes recherches...
Cordialement

NHenry · Answer

Bonjour, 

Je ne maitrise pas trop JS, mais, rien ne t'empêche de mettre du code Js dans le HTML généré.

Après, si ça ne fonctionne pas comme prévu, voir le JS en cause. (www.javascriptfr.com)

---------------------------------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---

omlaly · Answer

Bonjour, 

En fait, je faisais trop compliqué, pour info je te donne le code PHP : 

echo "
Adresse e-mail,
    

";



Par contre, je n'ai pas réussi à cacher le formulaire de connexion. Je te montre le code PHP qui ne marche pas : 

echo "

"; 

J'ai posté, comme tu me l'as proposé, sur le site de javascript. Je te donne l'adresse du message : http://www.javascriptfr.com/forum/sujet-JAVASCRIPT-DANS-ECHO-PHP_1617398.aspx#1 . 

Cordialement 

Avez-vous une idée ? 
En attendant vos réponses, je continue mes recherches... 
Cordialement

Connexion mot de passe crypté sha1

50 réponses

Votre réponse

Discussions similaires