autorisatioon pour les commentaires Fermé

Question

Bonjour, bonjour je cherche à protéger mon formulaire de commentaires des entrées intepestives de pub et autres floodage. et dans cet optique, je souhaite ajouter une entrée "mot de passe" qui devra etre verifiée par rapport à la table "membres" (pour rappel, tout ce qui concerne les commentaires se trouvent dans la table "commentaires") j'ai lu quelques pages du livre de Mathieu Nebra (le site du Zero) et il aborde les AS (alias). je me susi dit qu'en utilisant un alias, je pourrait récupérer le mot de passe dans une table et le comparer à celui de l'autre par rapport au pseudo entré, mais je n'ai pas su faire correctement. puis j'ai tenté de prendre simplement le pass de la table "membres" et de la comprarer à l'entrée de l'utilisateur .... je n'y arrive pas où c'est une histoire de synthaxe/position du code... lien pour voir le résultat : http://symposion.fr/test_array.php je n'ai rien trouvé sur la toile ou sur le livre qui puisse m'aider (des explications simple que je puisse comprendre évidemment) apres plusieurs heures de tentative, je me heurte à un mur et je m'épuise en tachant de comprendre des choses qui ne sont pas expliquées que signifie une requete où il apparait ".... WHERE pseudo='.$pseudo.' '); il s'agit de requete qui pourrait peut-etre m'aider ? comment définit-on qu'un pseudo est tant une table et comment on le compare avec celui entré par l'utilisateur dans le formulaire et à quel moment doit-on faire cette comparaison dans le script ? je suis un peu perdu et je tiens à signaler quand meme que je suis un super novice en pdo et débutant en PHP. tout ce qui peut etre une évidence pour vous est un questionnement pour moi. j'adore apprendre et j'ai grandement besoin d'aide puis-je compter sur vous et votre aide ? je vous post ce que j'ai fait en dernier lieu dans mon script et je ne vois rien d'autre à faire meme si je ne cesse de chercher merci à vous ps : une autre cose que j'ai du mal à comprendre si PDOStatement est un objet que l'on utilise en php (une classe me semble-t-il...) quand doit-on utiliser PDOStatement->closeCursor ? je ne l'ai vu utilisé que pour des requête comportant un fetch() (ce qui me parait logique) est-ce qu'on l'utilise qua dans le cas de ces fetch() ? code : if(isset($_POST['submit'])){ // $Jour = array("Dimanche", "Lundi", "Mardi", "Mercredi", "Jeudi", "Vendredi", "Samedi"); // $Mois = array("","janvier", "février", "mars", "avril", "mai", "juin", "juillet", "août", "septembre", "octobre", "novembre", "décembre"); // $datefr = $Jour[date("w")]." ".date("d")." ".$Mois[date("n")]." ".date("Y").", ".date("H")." : ".date("i"); $loggin = $_POST['pseudo']; // htmlspecialchars ne sert à rien ici. Il ne faut l'utiliser que lorsqu'il y a une sortie de texte, pas une entrée. De plus, le "a écrit" est une donnée qui reviens donc elle aura sa place dans la boucle en bas $mess = $_POST['message']; // pareil $pass = $_POST['passwd']; // si tous les champs sont vides if(empty($_POST['pseudo']) OR empty($_POST['message']) OR empty($_POST['passwd'])){ echo '

Un des champs est vide

'; } // vérification d'un pseudo existant if(isset($_POST['pseudo']){ try{ $verif = $connexion->query('SELECT pseudo, pass FROM membres'); $data = $verif->fetch(); if($data != $loggin){ echo 'vous devez être connecté(e) pour poster un commentaire'; } } catch(Exception $e){ echo 'Erreur : '.$e; } } // si tout est ok else{ try{ // on définit les logins / paramètres de la base de donnée $insertion_table = $connexion->prepare('INSERT INTO commentaires(pseudo, message,date_enregistrement) VALUES(:pseudo, :message,:date_enregistrement)') or exit(print_r($insertion_table->errorInfo())); // on prépare la requete SQL afin d'envoyer le message / pseudo. Si la requete échoue, on affiche l'erreur $insertion_table->execute(array('pseudo'=>$loggin, 'message'=>$mess, 'date_enregistrement'=>time())); // on éxécute la requete } catch(Exception $e){ echo 'problème d\'insertion dans la bdd : '.$e->getMessage(); } try{ $result= $connexion->query('SELECT * FROM commentaires ORDER BY date_enregistrement DESC'); // on séléctionne tous les champs de la table commentaires while ($donnees = $result->fetch()){ echo '

'; echo '

'.date('l d m Y H:i', $donnees['date_enregistrement']).'

'; echo '

'.htmlentities($donnees['pseudo']).' a écrit :

'; echo '

"'.nl2br(htmlentities($donnees['message'])).'"

'; // ici donc, on rajoute htmlentities (un dérivé de htmlspecialchars()) car cette fois ci, on sort le texte. De plus, on peut voir que " a écrit : " reviens car il sera rajouté à chaque passage de la boucle } } catch(Exception $e){ echo 'problème avec la requête d\'affichage : '.$e->getMessage(); } $result->closeCursor(); } } Configuration: CM Asus P8Z68 V-PRO ventirad Noctua NH-C14 RAM (DDR3): Corsair 8GO vengeance et 4GO XMS3) HDD Samsung 500GO 2,5" SATA interne Alim : Corsair TX550M GPU : pas encore défini CPU : Intel Core i5 2500K Lecteur/graveur : non défini boitier : VAYA Value ATX midi tower SSD : à venir (crise HDD)

Alain_42 · Answer

salut, essayes plutôt comme ça: Un des champs est vide

'; } // vérification d'un pseudo et mot de pass existant if(isset($_POST['pseudo']) && isset($_POST['pass']){ try{ $verif = $connexion->query("SELECT pseudo, pass FROM membres WHERE pseudo='".$loggin."'"); $data = $verif->fetch(); if($data['pseudo'] == $loggin && $data['pass'] == $pass){ //login et mot de pass corrects on peut inserer le commentaire try{ // on définit les logins / paramètres de la base de donnée $insertion_table = $connexion->prepare('INSERT INTO commentaires(pseudo, message,date_enregistrement) VALUES(:pseudo, :message,:date_enregistrement)') or exit(print_r($insertion_table->errorInfo())); // on prépare la requete SQL afin d'envoyer le message / pseudo. Si la requete échoue, on affiche l'erreur $insertion_table->execute(array('pseudo'=>$loggin, 'message'=>$mess, 'date_enregistrement'=>time())); // on éxécute la requete } catch(Exception $e){ echo 'problème d\'insertion dans la bdd : '.$e->getMessage(); } try{ $result= $connexion->query('SELECT * FROM commentaires ORDER BY date_enregistrement DESC'); // on séléctionne tous les champs de la table commentaires while ($donnees = $result->fetch()){ echo '

'; echo '

'.date('l d m Y H:i', $donnees['date_enregistrement']).'

'; echo '

'.htmlentities($donnees['pseudo']).' a écrit :

'; echo '

"'.nl2br(htmlentities($donnees['message'])).'"

'; // ici donc, on rajoute htmlentities (un dérivé de htmlspecialchars()) car cette fois ci, on sort le texte. De plus, on peut voir que " a écrit : " reviens car il sera rajouté à chaque passage de la boucle } } catch(Exception $e){ echo 'problème avec la requête d\'affichage : '.$e->getMessage(); } $result->closeCursor(); }else { echo 'vous devez être connecté(e) pour poster un commentaire'; } } catch(Exception $e){ echo 'Erreur : '.$e->getMessage(); } } }

Alain_42 · Answer

non la ligne est normale les guillemets servent à la concatenation
tu parles d'erreur, quelle erreur ?

Alain_42 · Answer

dans la requette telle que je te l'ai donné:

"SELECT pseudo, pass FROM membres WHERE pseudo='".$loggin."'"

la chaine commence et finit par "

donc pour concaténer à l'intérieur il faut:

"blabla".$va."bbbaaa"

mais comme il faut en plus encadrer la valeur par des '

ça fait bien:"SELECT pseudo, pass FROM membres WHERE pseudo='".$loggin."'"

$loggin =  $_POST['pseudo']; donc la valeur sasie par l'utilisateur
que l'on compare à celle dans la table par la condition WHERE et on verifie que le pass saisi est bien associé à ce pseudo dans la BDD

if($data['pseudo'] == $loggin && $data['pass'] == $pass)

$data['pseudo']  c'est que qui est dans la base
$loggin ce qui a été saisi

idem pour le pass

Alain_42 · Answer

pourquoi deux parenthèses de chaque côté ?

Alain_42 · Answer

pour vérifier que le pseudo correspond au mot de pass enregistré dans la BDD c'est comme je t'ai indiqué.

Alain_42 · Answer

est ce qu'il fonctionne si oui c'est bon avec une méthode sensiblement différente mais qui revient au même.

Alain_42 · Answer

je n'ai pas regardé de près ton code, mais

dans les 3exemples que tu donnes tous ont le m^me mot de pass et deux ont le m^me pseudo et mot de pass

dans ton code je ne vois pas la partie connexion BDD
new PDO.....

Alain_42 · Answer

comme cela ça ira mieux: Un des champs est vide

'; } // le formulaire est vide, on ne va pas plus loin ! //------------------------------------------------------------------------------------------------------ // on a validé le formulaire et rempli l'intégralité du formulaire... else { //connexion base try { $connexion = new PDO('mysql:host='.$host.';dbname='.$db_name.'', ''.$user_host.'', ''.$pass_host.'') ; } catch(PDOExeption $e) { die('Erreur lors de la connexion a la base de donnees' .$e->getMessage()); } // préparation de la requête de vérif de l'existence des données $auth = $connexion->prepare('SELECT COUNT(*) FROM membres WHERE pseudo = :pseudo AND pass = :pass'); // execution avec les paramètres $auth->execute(array(':pseudo'=>$_POST['pseudo'], ':pass'=>$_POST['passwd'])); // s'il n'y a pas de résultat if ($auth->fetchColumn() < 1) { echo 'vous devez être enregistré(e) pour poster un commentaire'; } // ---------------------------------------------------------------------------------------------- // Les données sont trouvées et on va chercher l'existence d'une Session else { // si le pseudo est trouvé if (empty($_SESSION['pseudo'])) { //et que la session n'existe pas session_start(); $_SESSION['pseudo']=$_POST['pseudo']; //la tu ouvres une session et ensuite tu enregistres le commentaire //car tu ne peux passer dans le if et dans le else en même temps // insertion du commentaire // on définit les logins / paramètres de la base de donnée $insertion_table = $connexion->prepare('INSERT INTO commentaires(pseudo, message,date_enregistrement) VALUES(:pseudo, :message,:date_enregistrement)') or exit(print_r($insertion_table->errorInfo())); // on prépare la requete SQL afin d'envoyer le message / pseudo. Si la requete échoue, on affiche l'erreur $insertion_table->execute(array('pseudo'=>$loggin, 'message'=>$mess, 'date_enregistrement'=>time())); // on éxécute la requete $result= $connexion->query('SELECT * FROM commentaires ORDER BY date_enregistrement DESC'); // on séléctionne tous les champs de la table commentaires while ($donnees = $result->fetch()){ echo '

'; echo '

'.date('l d m Y H:i', $donnees['date_enregistrement']).'

'; echo '

'.htmlentities($donnees['pseudo']).' a écrit :

'; echo '

"'.nl2br(htmlentities($donnees['message'])).'"

'; // ici donc, on rajoute htmlentities (un dérivé de htmlspecialchars()) car cette fois ci, on sort le texte. De plus, on peut voir que " a écrit : " reviens car il sera rajouté à chaque passage de la boucle } } } } } ?>

Alain_42 · Answer

et comme ça: (voir commentaires) getMessage()); } if(isset($_POST['submit'])){ if(empty($_POST['pseudo']) OR empty($_POST['email']) OR empty($_POST['pass']) OR empty($_POST['pass2'])){ echo '

Vous devez remplir tous les champs

'; // le formulaire n'est pas complet, on ne va pas plus loin ! }else{ //recup des valeurs saisies $email = $_POST['email']; $loggin = $_POST['pseudo']; $passwd = $_POST['pass']; $passwd2 = $_POST['pass2']; if ($passwd != $passwd2) { echo 'Les mots de passe doivent être identiques'; // si les mots de passe sont différents, on le signale }elseif(!preg_match('#^[a-z0-9._-]{1,}@[a-z0-9._-]{2,}\.[a-z]{2,4}$#',$email)){ echo 'Vous avez entré une adresse mail invalide'; }else{ // Si tout est OK ... //ATTENTION tu mets parfois mail, parfois email, sois plus rigoureux ! // préparation de la requête pour vérif si les saisie n'existent pas déja $auth = $bdd->prepare('SELECT COUNT(*) FROM membres WHERE pseudo = :pseudo AND pass = :pass AND email = :email'); // execution avec les paramètres $auth->execute(array(':pseudo'=>$_POST['pseudo'], ':pass'=>$_POST['pass'], ':email'=>$_POST['email'])); // s'il n'y a pas de résultat if ($auth->fetchColumn() < 1) { //on enregistre l'utilisateur dans la base de donnée $insertion_table = $bdd->prepare('INSERT INTO membres(pseudo, email, pass) VALUES(:pseudo, :email,:pass)') or exit(print_r($insertion_table->errorInfo())); // on prépare la requete SQL afin d'envoyer le message / pseudo. Si la requete échoue, on affiche l'erreur $insertion_table->execute(array('pseudo'=>$loggin, 'email'=>$email, 'pass'=>$passwd)); // on éxécute la requete if($insertion_table){ //la requette s'est bien déroulée echo '

Vous êtes désormais enregistré(e) ! Et si on se connectait maintenant ?

'; echo '

C\'est par ici

'; } }else{ echo 'Le compte existe déjà !'; //pourquoi se deconnecté on est pas encore connecté a ce moment on cherche seulement a s'enregistrer } } } } ?>

Inscription:

Alain_42 · Answer

pour la connexion tu fais un formulaire pour la saisie pseudo et pass

ensuite dans le code php tu fait une requette BDD qui verifie que le couple login/pass existe pour ouvrir une session

session_start();

$_SESSION['pseudo']=$pseudo;
header(location:accueil.php); //vers la première page du site


ensuite tout en haut de toutes les pages accessibles seulement si connecté tu mets:

<?php
//avant ça il ne faut rien mettre, pas de code html
session_start();
if(!isset($_SESSION['pseudo'] || $_SESSION['pseudo'] !=""){
     header(location:connexion.php);
}else{
  //toute la partie html de ta page
 //tu peux y  mettre aussi
echo 'Bonjour '.$pseudo.' vous êtes connecté';
}

gintoxic · Answer

je viens de lire que sql disposait de champs uniques qui garantissent l'unicité et donc de cette façon on n peut entrer 2 fois la même valeur de champs et ça j'avoue que j'en ai besoin pour le mail au niveau de l'inscription
apres un test, ca marche de telle facon qu'on ne peut entrer un mail identque à celui deja présent dans la table mais qu'au niveau visuel sur le site, ca stoppe tout (meme le dsign html/css
or je souhaite emettre un commentaire lorsque cet évenement se produit (tentative de doublon)

est ce que je peux faire ca ?

merci

Alain_42 · Answer

je ne voit pas comment ça peut bloquer le html css avec inscription.php lorsque l'on fait la verification bdd->prepare('SELECT COUNT(*) FROM membres WHERE pseudo = :pseudo AND pass = :pass AND email = :email'); // execution avec les paramètres $auth->execute(array(':pseudo'=>$_POST['pseudo'], ':pass'=>$_POST['pass'], ':email'=>$_POST['email'])); // s'il n'y a pas de résultat if ($auth->fetchColumn() < 1) { on s'assure bien que ni le pseudo,, ni le pass, ni le mail n'existent sur une même "ligne" l'inconvénient c'est que tu peux avoir plusieurs fois le même pseudo avec soit un pass différent soit un mail différent. mais si je comprend bien tu veux aussi t'assurer que le mail n'existe pas non plus dans d'autres enregistrements de ta base ? il suffit de faire une autre requette sur le pseudo seulement puis une sur le mail getMessage()); } if(isset($_POST['submit'])){ if(empty($_POST['pseudo']) OR empty($_POST['email']) OR empty($_POST['pass']) OR empty($_POST['pass2'])){ echo '

Vous devez remplir tous les champs

'; // le formulaire n'est pas complet, on ne va pas plus loin ! }else{ //recup des valeurs saisies $email = $_POST['email']; $loggin = $_POST['pseudo']; $passwd = $_POST['pass']; $passwd2 = $_POST['pass2']; if ($passwd != $passwd2) { echo 'Les mots de passe doivent être identiques'; // si les mots de passe sont différents, on le signale }elseif(!preg_match('#^[a-z0-9._-]{1,}@[a-z0-9._-]{2,}\.[a-z]{2,4}$#',$email)){ echo 'Vous avez entré une adresse mail invalide'; }else{ // Si tout est OK ... //ATTENTION tu mets parfois mail, parfois email, sois plus rigoureux ! // préparation de la requête pour vérif si le pseudo pas déja $auth = $bdd->prepare('SELECT COUNT(*) FROM membres WHERE pseudo = :pseudo'); // execution avec les paramètres $auth->execute(array(':pseudo'=>$_POST['pseudo'])); // s'il n'y a pas de résultat if ($auth->fetchColumn() < 1) { //verif si mail existe déja $auth2 = $bdd->prepare('SELECT COUNT(*) FROM membres WHERE email = :email'); // execution avec les paramètres $auth2->execute(array(':email'=>$_POST['email'])); // s'il y a 1 résultat if ($auth2->fetchColumn() >0) { echo 'Le mail existe déja !'; }else{ //si tout OK //on enregistre l'utilisateur dans la base de donnée $insertion_table = $bdd->prepare('INSERT INTO membres(pseudo, email, pass) VALUES(:pseudo, :email,:pass)') or exit(print_r($insertion_table->errorInfo())); // on prépare la requete SQL afin d'envoyer le message / pseudo. Si la requete échoue, on affiche l'erreur $insertion_table->execute(array('pseudo'=>$loggin, 'email'=>$email, 'pass'=>$passwd)); // on éxécute la requete if($insertion_table){ //la requette s'est bien déroulée echo '

Vous êtes désormais enregistré(e) ! Et si on se connectait maintenant ?

'; echo '

C\'est par ici

'; } }else{ echo 'Le pseudo existe déjà !'; } } } } ?>

Inscription:

gintoxic · Answer

salut et encore merci, ce code me hante et j'avais eu cette idée mas sans savoir comment la poser dans le code... tu l'as fait !! :)
bon ceci dit est ce que je dois interdire deux pseudo diffrents ? perso, je pense que oui

pour répondre à ta question : 
"mais si je comprend bien tu veux aussi t'assurer que le mail n'existe pas non plus dans d'autres enregistrements de ta base ? "
- tout à fait deux personnes ne peuvent avoir le meme mail contrairement au pseudo... quoique.... et au pass.

je te propose de tester ton code (bon j'ai participé un tout petit peu....) à cette adresse http://symposion.fr/form_loggin.php et me dire si tu voisquelque chose qui cloche ou si tout est ok...

en tout cas un grand merci à toi....

si tu suis toujours l'histoire, je vais maintenat passer au formulaire de connexion pour boucler la boucle entre l'inscription et les commentaires
----> les session à présent (mais là le Site du Zéro ne va pas beaucoup m'aider à moins que j'ai mal lu le cours....

Alain_42 · Answer

concernant le pseudo il vaut mieux que deux personne différentes n'aient pas le m^me sinon lorsqu'ils vont poster un commentaire on ne saura pas lequel l'a fait.

concernant la page commentaires;

il suffit de faire une page tout simple ans vérif à l'intérieur mais en mettant tout au début la verif de session

gintoxic · Answer

j'ai un souci avec mon code, mais je ne vois pas où... help me please... if(isset($_POST['submit'])){ if(!isset($_POST['pseudo']) AND !isset($_POST['message'])){ echo '

Les champs sont vides

'; } // le formulaire est vide, on ne va pas plus loin ! //------------------------------------------------------------------------------------------------------ else{ // préparation de la requête de vérif de l'existence des données $auth = $connexion->prepare('SELECT COUNT(*) FROM membres WHERE pseudo = :pseudo'); // execution avec les paramètres $auth->execute(array(':pseudo'=>$_POST['pseudo'])); // s'il n'y a pas de résultat if ($auth->fetchColumn() < 1) { echo 'vous devez être enregistré(e) pour poster un commentaire
Connexion'; } // else if(!isset(!$_SESSION['pseudo']){ // header('location:connex.php'); // exit; // } else { // si la session est ouverte // insertion du commentaire // on définit les logins / paramètres de la base de donnée $insertion_table = $connexion->prepare('INSERT INTO commentaire(pseudo, message,date_enregistrement) VALUES(:pseudo, :message,:date_enregistrement)') or exit(print_r($insertion_table->errorInfo())); // on prépare la requete SQL afin d'envoyer le message / pseudo. Si la requete échoue, on affiche l'erreur $insertion_table->execute(array(':pseudo'=>$loggin, ':message'=>$mess, ':date_enregistrement'=>time())); // on éxécute la requete $result= $connexion->query('SELECT * FROM commentaire ORDER BY date_enregistrement DESC'); // on séléctionne tous les champs de la table commentaires while ($donnees = $result->fetch()){ echo '

'; echo '

'.date('l d m Y H:i', $donnees['date_enregistrement']).'

'; echo '

'.htmlentities($donnees['pseudo']).' a écrit :

'; echo '

"'.nl2br(htmlentities($donnees['message'])).'"

'; // ici donc, on rajoute htmlentities (un dérivé de htmlspecialchars()) car cette fois ci, on sort le texte. De plus, on peut voir que " a écrit : " reviens car il sera rajouté à chaque passage de la boucle } } } }

Alain_42 · Answer

il faut procéder ainsi: Les champs sont vides

'; } // le formulaire est vide, on ne va pas plus loin ! //------------------------------------------------------------------------------------------------------ else{ // on définit les logins / paramètres de la base de donnée try{ $bdd = new PDO('mysql:host='.$hote.';dbname='.$BD, $user, $pass,$pdo_options); } catch(Exception $e) // si on y arrive pas, le $e contient les erreurs { die('Erreur : '.$e->getMessage()); } // insertion du commentaire $insertion_table = $connexion->prepare('INSERT INTO commentaire(pseudo, message,date_enregistrement) VALUES(:pseudo, :message,:date_enregistrement)') or exit(print_r($insertion_table->errorInfo())); // on prépare la requete SQL afin d'envoyer le message / pseudo. Si la requete échoue, on affiche l'erreur $insertion_table->execute(array(':pseudo'=>$loggin, ':message'=>$mess, ':date_enregistrement'=>time())); // on éxécute la requete $reaffiche_formulaire=false; //on empeche le raffichage du formulaire //affichage des messages $result= $connexion->query('SELECT * FROM commentaire ORDER BY date_enregistrement DESC'); // on séléctionne tous les champs de la table commentaires while ($donnees = $result->fetch()){ echo '

'; echo '

'.date('l d m Y H:i', $donnees['date_enregistrement']).'

'; echo '

'.htmlentities($donnees['pseudo']).' a écrit :

'; echo '

"'.nl2br(htmlentities($donnees['message'])).'"

'; // ici donc, on rajoute htmlentities (un dérivé de htmlspecialchars()) car cette fois ci, on sort le texte. De plus, on peut voir que " a écrit : " reviens car il sera rajouté à chaque passage de la boucle } } } if($reaffiche_formulaire){ //la tu mets ton code formulaire commentaires } } //fin du if session

Alain_42 · Answer

oui c'est le formulaire qui sert a entrer le commentaire

Alain_42 · Answer

cette variable permet d'afficher ou non la partie formulaire

au départ elle est a true --> donc on affiche
si erreur de saisie elle rest à true --> donc on affiche

si tout ok concernant l'enregistrement dans la base
elle passe à false --> donc on n'affiche plus le formulaire mais la liste des commentaires

mets moi ton code

Alain_42 · Answer

$_SESSION['pseudo'] est bien la variable de session que tu initailise lors de la connexion ?

je viens de voir un pb

if(!issset($_SESSION['pseudo']) OR $_SESSION['pseudo'] ==""){

3 s a isset

Alain_42 · Answer

je t'ai mis un MP

Autorisatioon pour les commentaires

20 réponses

Discussions similaires