proteger pages php Fermé

Question

Bonjour à tous, voici mon problème, j'ai reussi a mettre en place une page de connexion ou l'utilisateur a le choix entre 2 comptes possibles (utilisateur simple ou privilégié), et doit entrer le bon mot de passe. Si la connexion a réussi il est redirigé sur une autre page, mon problème est que si je tape une url qui amène vers une de mes pages web dans le navigateur et bien celle-ci est affichée alors que je ne me suis pa logué. Donc comment dois-je faire pour vérifier que l'utilisateur s'est bien connecté et a donc le droit d'accès aux pages? Une autre question j'ai 4 onglets sur ma page principale donc 4 liens sur 4 autres pages, je dois mettre en place des droits : à savoir que l'utilisateur privilégié peut tout faire (voir toutes les pages...) alors que l'utilisateur simple n'a accès qu'à deux onglets. Je vous passe mon code : PAGE VERIFICATION.PHP : '.$requete.'
'.mysql_error()); $donnees = mysql_fetch_assoc($resultat); if($donnees['mdp_utilisateur'] != $mdp) { echo '

Mauvais mot de passe. Merci de recommencer

'; include('index.htm'); // INCLUSION DE LA 1ERE PAGE identification.htm exit; } else { session_start(); $_SESSION['type_utilisateur'] = $utilisateur; echo ' '; // ici vous pouvez afficher un lien pour renvoyer // vers la page d'accueil de votre espace membres } } else { echo '

Vous avez oublié de remplir un champ.

'; include('index.htm'); exit; } ?> PAGE INDEX.HTM !DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> Connection

Veuillez choisir votre compte et saisir votre mot de passe

lewis34 · Answer

bonjour ,je pense que si tu rajoute ca au debut de tes pages ca devrais fonctionner

<?php
//// On appelle la session
session_start();

//je verifie que la session est remplie
if (empty($_SESSION['visiteur'] ))
{
header ("Location:/ta_page_de_log.php");
exit();
}
?>

si la session est vide cela signifie que ton visiteur n'est pas loggé donc tu le redirige vers la page de connexion

@+

ced29 · Answer

merci de ton aide je vais tester ça je te tiens au courant

ToTheDeath · Answer

Ou tu peut toujours utiliser un .htaccess

lewis34 · Answer

de rien ,je pense que cela fonctionne car j'ai fait ca sur mon site

ced29 · Answer

j'ai testé ton code il me ramène automatiquement sur ma page de connexion meme si je me suis bien connecté.
voici ce que j'ai mis au début de ma page sessionactive.php (page toute simple ou il y a juste écrit "votre session est maintenant active"):
<?php 
//// On appelle la session 
session_start(); 

//je verifie que la session est remplie 
if (empty($_SESSION['type_utilisateur'] )) 
{ 
header ("Location:/index.htm"); 
exit(); 
} 
?> 

j'arrête pas de bidouiller dans tous les sens ça marche toujours pas, tu peux regarder si c'est dans mon code de la page verification.php qu'il y a un problème stp?
je vois pas quoi faire !!!

J'ai envi de reussir avec les session start, ça fait pas mal de temps que je suis dessus et j'y arriverais bien un jour donc pour .htaccess non merci.

merci davance

lewis34 · Answer

logiquement si t'est connecté la procedure ignore ce qui il ya entre les { },donc apres la sequence if (empty($_SESSION['type_utilisateur'] )) { header ("Location:/index.htm"); exit(); } ilfaut que tu continue ta page un exemple '.$sql.'
'.mysqli_error()); $req = mysqli_fetch_array($cherchenom); //attribution des valeurs $pass=$req['Mot_passe']; $mail=$req['Email']; $nom=$req['Nom']; $prenom=$req['Prenom']; $departement=$req['Departement']; $pays=$req['Pays']; $sexe=$req['Sexe']; $adresse=$req['Adresse']; $ville=$req['Ville']; $telephone=$req['Telephone']; mysqli_free_result($req); mysqli_close(); puis ensuite verif des infos et affichage j'ai repris le debut de mes codes si a cahque fois tu est redirigé vers ta page index.htm c'est surement qu'apres y'a plus rien petite precison il faut que tu place la verif de session au debut de ta page avant les tag head et tu met ca sur toutes les pages que tu veut "proteger" par mot de passe @+

ced29 · Answer

ok merci bien je vais aller voir ça je te tien au courant.

ced29 · Answer

lol j'y arrive toujours pas, bon voici mon code : Voici ma page INDEX.HTM : Connection

Veuillez choisir votre compte et saisir votre mot de passe

Voici ma page VERIFICATION.PHP : '.$requete.'
'.mysql_error()); $donnees = mysql_fetch_assoc($resultat); if($donnees['mdp_utilisateur'] != $mdp) { echo '

Mauvais mot de passe. Merci de recommencer

'; include('index.htm'); // INCLUSION DE LA 1ERE PAGE identification.htm exit; } else { session_start(); $_SESSION['type_utilisateur'] = $utilisateur; echo ' '; // ici vous pouvez afficher un lien pour renvoyer // vers la page d'accueil de votre espace membres } } else { echo '

Vous avez oublié de remplir un champ.

'; include('index.htm'); exit; } ?> Voici ma page SESSIONACTIVE.PHP : Système


Votre session est maintenant active.

Sur la page index.htm j'ai mon formulaire pour entrer le mdp, cette page est lié à verification.php qui va vérifier dans la bdd et si la connexion a réussi on est renvoyé sur la page sessionactive.php (page toute simple ou est simplement écrit :"votre session est active") c'est cette page que j'essaye de protéger. Donc voila je vois pas quoi faire d'autre j'ai bidouillé un peu dans tous les sens mais rien à y faire. Tu vas peut-être voir directement mon problème. Enfin je l'espère ; ) @+

lewis34 · Answer

oki je regarde

lewis34 · Answer

je ferai peut etre comme ça //*************************************************************************** // mon code //************************* //********** //verification que login et password sont remplis if (empty ($_POST['utilisateur']) OR empty($_POST['mdp'])) { //si c'est le pseudo if (empty($_POST['utilisateur'])) { echo 'Le champ utilisateur est vide'; exit(); } //si c'est le psw if (empty($_POST['mdp'])) { echo 'Le mot de passe est vide'; exit(); } } //les champs sont remplis $client = htmlspecialchars(addslashes($_POST['utilisateur'] ));//pour eviter d'avoir du script dans le nom d'utilisateur $crypt=md5($_POST['mdp']);//la je rajoute ca c'est pour crypté le MP dans da base mysql_connect("localhost", "root", "adminserv") or die("erreur de connexion au serveur"); mysql_select_db("compte") or die("erreur de connexion a la base de donnees"); $requete = "SELECT mdp_utilisateur FROM utilisateurs WHERE type_utilisateur='".$utilisateurs."'"; $utilisateur=$irequete['lutilisateur']; //affichage des resultats if (($utilisateur==$client)) { // si on obtient une réponse, alors l'utilisateur est un membre session_start(); $_SESSION['visiteur'] = $utilisateur; header ("Location:la_page_ou_tu_veut_etre_redirigé_quand_OK"); } else { ?>

ced29 · Answer

merci encore de ton aide, j'ai testé ton code, il marche bien mais par contre ça me fait le meme problème à savoir un renvoi sur la page html malgré une bonne connexion. voici le code : Vous avez oublié de remplir un champ.

'; include('index.htm'); exit; } ?> Après sur la page sessionactive.php j'ai mis le code suivant au début: Quand je rentre le mdp et je clique sur envoyer il me renvoit sur la page ou je suis càd page index.htm et il y a marqué vous avez oublié de remplir un champ ( j'ai juste le champ mdp a saisir car pour lè utilisateur j'ai fait un menu déroulan avec 2 choix possibles : privilegie ou simple) La je vois pas du tout comment faire, le problème vient forcément du code? je t'explique mon serveur web est sous linux (mandrake 10.1) et le pc sur lequel je développe est sous xp pro. Sur le serveur j'ai donc php, mysql , apache et phpmyadmin. Il n'y aurait quelques choses à paramétrer pour autoriser les session start() ??? Désole je m'y connais pas beaucoup en php mais la j'ai testé différents codes et ça fonctionne pas! J'espère qu'on va trouver la solution. Merci d'avance @+

lewis34 · Answer

hello on devrais trouver... ********************************** une accolade de trop ********************************* $requete = "SELECT mdp_utilisateur FROM utilisateurs WHERE type_utilisateur='".$utilisateurs."'"; vire le . $utilisateur dans la clause where WHERE type_utilisateur='$utilisateur'"; ************************************ je rectifie ton code... / si on obtient une réponse, alors l'utilisateur est un membre session_start(); if ($_SESSION['client'] = $utilisateur) //j'ai rajouté le if { header ("Location:sessionactive.php"); } else { // inutile ==>else { echo '

Vous avez oublié de remplir un champ.

'; include('index.htm'); exit(); } // DECONNEXION DE LA BD mysql_close(); ?> *************************** voila essaye comme ca. Quand au session sur apache si mes souvenir sont bon les modules sont activés par défaut,donc t'a pas besoin d'activer quoi que ce soit. tiens moi au courant @+

ced29 · Answer

ok je vais tester ça
merci bien

ced29 · Answer

re bon je viens d'apporter les modifications  que tu m'as indiquée ça fonctionne presque ; )
Quand je tape l'url sessionactive.php par exemple sans mettre connecté au préalable, il me ramène bien à la page index.htm
seul souci c'est que je peux entrer n'importe quel mot de passe il se connecte quand même, je vois pas comment modifier le code pour qu'il vérifie bien le mot de passe entré avec celui de la base de donnée.

merci de ton aide sérieux

lewis34 · Answer

content que je te fasse avancer

je sais pas comment est organisé ta base de donnée mais tu peut peut etre essayer ca :

$requete = "SELECT mdp_utilisateur FROM utilisateurs WHERE type_utilisateur='$utilisateur' AND mdp='$crypt'";

bien sur si dans ta base ton MP est pas crypté tu remplace $crypt par $_POST['mdp']

la requete va chercher dans ta table mdp l'utilisateur ET le MP
si les 2 correspondent pas tu te connecte pas.

teste ca et tiens moi au courant
@+

ced29 · Answer

j'ai fait quelques modif et c'est good ça marche nikel; merci beau pour ton aide j'ai trop galérer et ce n'est que le début lol , maintenant je dois faire une page mise a jour du mot de passe ça ça devrait aller 
mais sinon je dois faire une page qui me permettra de récupérer des données d'un fichier texte et de les modifier si nécessaire. Je t'explique je suis en stage et il me reste 2 semaine pour faire min IHM. C'est intéressant mais pas si facile que ça   ; )

J'ai quelques questions pour toi tout d'abord pour le cryptage des mots de passe comment ça se passe? moi je les vois en clair dans ma bdd, il faut faire quoi pour les crypter ? md5 correspond à quoi?
D'autres parts j'aurais voulu savoir si tu t'y connaissais beaucoup en php? J'aurais qu'on s'échange nos adresses mails si jamais tu peux me filer un coup de main quand j'ai un soucis. Enfin si t'as pas le temps de t'occuper encore de moi je comprendrais looool .

Merci bien en tout cas, je te payerais un coup si tu passe sur Brest un de ces 4  ; )
@+

lewis34 · Answer

re,
en ce qui concerne le cryptage ,enfin plutot du haschage le terme est plus exact,(j'ai plus les liens des sites en tete mais google devrais te trouver ca)

c'est tout simple d'autant qu' apache possede le module qui permet de faire ça
exemple de code:
//je crypte le nouveau MP
				$crypt=md5($_POST['password']);

il suffit de mettre md5 devant ton MP etvoila

une fois crypté dans ta base tu aura ceci

098f6bcd4621d373cade4e832627b4f6
ca correspond au mot de passe 123 en clair

ca sert surtout a securisé les MP si quelqu'un pirate ta BD il verra que ca comme mp 

098f6bcd4621d373cade4e832627b4f6

Par contre si tu crypte prevois de garder le MP en clair (pas dans la meme table) pour pouvoir eventuellement le recuperer


pour le mail y'a pas de soucis va sur mon site http://milsodor.no-ip.org

tu verra ce que je fait et en plus tu aura l'adresse mail

Quand a ma connaissance du php ,je suis pas un pro y'a 3 mois environ que je m'y suis mis,je progresse  mais si tu a besoin d'aide n'hesite pas si je peut c'est avec plaisir.
Un conseil potasse mais surtout ne copie pas "betement" lescodes,il vaut mieux les retaper,je sais c'est plus long mais au moins tu sait ce que tu fait.

je note pour le coup à boire ,mais brest et beziers c'est pas à coté lol!!!!!!

bonne soirée et n'hesite pas si t'a un soucis 

@+

Proteger pages php

17 réponses

Discussions similaires