Forum d'entraide PHPFrance

Bonjour,

J'ai un formulaire de connexion et je ne peux pas me connecter seulement avec "sha1".
Pourtant mon password est haché dans ma base de donnée et le type du champ est VARCHAR.
J'ai pourtant essayé beaucoup de solutions

Voici mon code :

require('../include/functions.inc.php');

$pseudo = $_POST['pseudo'];
$pass = sha1($_POST['pass']);
 
if (!empty($pseudo) && !empty($pass)) {
    $req = $connect->prepare('SELECT id FROM wa_communaute WHERE pseudo = :pseudo AND pass = :pass');
    $req->execute(array('pseudo' => $pseudo, 'pass' => $pass));
    $result = $req->fetchAll();
    if(count($result) == 1) {
		session_start();
		$_SESSION['id'] = $result['id'];
		$_SESSION['pseudo'] = $pseudo;
		echo 'OK';
    }
    else {
		echo '<div class="error-login">Vos identifiants sont incorrects !</div>';
    }
} else {
    echo '<div class="error-login">Veuillez remplir tous les champs !</div>';
}

Sinon mon code fonctionne mais est-il sécurisé ou non ? Je dois rajouter quoi pour le sécuriser ?

Merci de votre aide

Salut,

1/ on ne passe pas le mot de passe dans la requête on compare en php
2/ as-tu comparé les valeurs du sha1 et en base ?
3/ ton champs de mot de passe fait quelle taille ?

@+

1- Comment on écrit une comparaison php et où l'intégrer dans mon script ?
2- Non je n'ai pas comparé les valeurs
3- Il y a 40 caractères pour le hachage du mot de passe

Merci d'avance pour ton aide

commence simplement par récupérer le mot de passe contenu en base (le select sql) et affiche la valeur ainsi que le résultat du

un exemple de correction de ton code

<?php
require('../include/functions.inc.php');

if (!empty($$_POST['pseudo']) && !empty($$_POST['pass'])) {
	$pass = sha1($_POST['pass']);
    $req = $connect->query('SELECT id, pass FROM wa_communaute WHERE pseudo = '.$connect->quote($_POST['pseudo']);
    $result = $req->fetchAll();
	echo '|',$pass,'|<br />'; // on affiche le sha1 de ce qui a été saisie
	var_dump($result); // on affiche le résultat de ce que la base retourne
    if(count($result) == 1 && pass== $result[0]['pass']) {
		session_start();
		$_SESSION['id'] = $result['id']; // attention $result['id'] n'existe pas le var_dump va te montrer pourquoi
		$_SESSION['pseudo'] = $_POST['pseudo'];
		echo 'OK';
    }
    else {
        echo '<div class="error-login">Vos identifiants sont incorrects !</div>';
    }
} else {
    echo '<div class="error-login">Veuillez remplir tous les champs !</div>';
}

il y a des chances que ton soucis soit plus au niveau de l'utilisation du résultat de la requête que du mot de passe (cf commentaire dans le code).

si tel est le cas il faut impérativement activer l'affichage des erreurs lorsque l'on développe sinon ne s'en sort pas.

@+

Voici l'affichage du var_dump que j'ai :
Et ça ne fonctionne toujours pas, j'ai juste supprimé la ligne :

$_SESSION['id'] = $result['id'];

Voilà le code :

if (!empty($_POST['pseudo']) && !empty($_POST['pass'])) {
	$pseudo = $_POST['pseudo'];
	$pass = sha1($_POST['pass']);
    $req = $connect->query('SELECT id, pass FROM wa_communaute WHERE pseudo = '.$connect->quote($_POST['pseudo']));
    $result = $req->fetchAll();
        echo '|',$pass,'|<br />';
        var_dump($result);
    if(count($result) == 1 && pass== $result[0]['pass']) {
                session_start();
                $_SESSION['id'] = $result[0]['id'];
                $_SESSION['pseudo'] = $_POST['pseudo'];
                echo 'OK';
    }
    else {
        echo '<div class="error-login">Vos identifiants sont incorrects !</div>';
    }
} else {
    echo '<div class="error-login">Veuillez remplir tous les champs !</div>';
}

Merci pour ton aide

la chose est claire
en base : da39a3ee5e6b4b0d3255bfef95601890afd80709
formulaire : 6125a508927cea08d8fa692389acbb1158189da2

donc soir tu te te souvient pas du mot de passe, soit il y a une différence entre l'insertion et la vérification

@+

J'envois mon formulaire en ajax, et peut-être que le hachage est modifié après le passage en ajax ??
Sinon oui, je me souviens forcément du mot de passe depuis le temps que je j'essaye de faire fonctionne tout ça ^^

(Non je viens de le faire sans ajax et ça fonctionne pas non plus ^^)

Je met mon formulaire d'inscription, peut-être que ça vient de là :

if (!empty($_POST['prenom']) && !empty($_POST['nom']) && !empty($_POST['mail']) && !empty($_POST['sexe']) && !empty($_POST['jour']) && !empty($_POST['mois']) && !empty($_POST['annee']) && !empty($_POST['pseudo']) && !empty($_POST['mdp']) && !empty($_POST['verif_mdp'])) :
	if (preg_match("!^[a-z0-9._-]+@[a-z0-9._-]{2,}\.[a-z]{2,4}$!", $mail)) :
		$req = $connect->prepare('SELECT pseudo, mail FROM wa_communaute WHERE pseudo = :pseudo OR mail = :mail');
		$req->execute(array('pseudo' => $_POST['pseudo'], 'mail' => $_POST['mail']));
		$result1 = $req->rowCount();
		$req->closeCursor();
		if($result1 == 1) :
			echo '<div class="error-register">Pseudo ou email déjà utilisé</div>';
			elseif ( $mdp != $verif_mdp) :
				echo '<div class="error-register">Les mots de passe ne sont pas identiques !</div>';
			else:
				$req1 = $connect->prepare('INSERT INTO wa_communaute(pseudo,pass,mail,nom,prenom,jour,mois,annee,sexe,partime) VALUES(:pseudo,:pass,:mail,:nom,:prenom,:jour,:mois,:annee,:sexe,NOW())');
				$req1->execute(array('pseudo' => htmlentities($pseudo),'pass' => htmlentities(sha1($pass)),'mail' => htmlentities($mail),'nom' => htmlentities($nom),'prenom' => htmlentities($prenom),'jour' => htmlentities($jour),'mois' => htmlentities($mois),'annee' => htmlentities($annee),'sexe' => htmlentities($sexe)));
				$req1->closeCursor();
				
				$req2 = $connect->prepare('SELECT id FROM wa_communaute WHERE pseudo = :pseudo');
				$req2->execute(array('pseudo' => $pseudo));
				$result = $req2->fetchAll();
				$_SESSION['pseudo'] = $pseudo;
				$_SESSION['id'] = $result['id'];
				setcookie("pseudo", $_POST["pseudo"], time() + 90 * 24 * 60 * 60, "/");
				$req2->closeCursor();
				
				$msg_register = 'Vous êtes désormais inscrit sur Web Astronomie.';
				$req3 = $connect->prepare('INSERT INTO wa_mur (id_membre,poster,date_heure) VALUES (:id_membre,:poster,now())');
				$req3->execute(array('id_membre' => $_SESSION['id'],'poster' => $msg_register));
				$req3->closeCursor();
				
				$entete = 'MIME-Version: 1.0\r\n';
				$entete .= 'Content-type: text/html; charset=iso-8859-1\r\n';
				$entete .= 'From: <$email_admin>\r\n';
				$entete .= 'Reply-To: $email_admin\r\n';
				mail($mail,'Bienvenue sur ' .$nom_site. ' ' . $login .'.' , $message, $entete);
				echo 'OK';
		endif;
	else:
		echo '<div class="error-register">Adresse email incorrecte !</div>';
	endif;
else:
	echo '<div class="error-register">Veuillez remplir tous les champs !</div>';
endif;

ENFIN RÉSOLUUUS !

Le problème se trouvais dans la page d'inscription, mauvaise variable du mot de passe :

$req1->execute(array('pseudo' => htmlentities($pseudo),'pass' => htmlentities(sha1($_POST['mdp']))

au lieu de :

$req1->execute(array('pseudo' => htmlentities($pseudo),'pass' => htmlentities(sha1($_POST['pass']))

vire les htmlentites c'est à réserver à l'affichage


@+