Faire une requête en fonction de l'id du membre

page 1 page 2
Répondre
Nono42
le 15/07/2008 à 15:08
Nono42
Déconnecté
Salut,
Je suis nouveau sur le forum (donc sur le site... ) et j'ai déjà un problème smiley
Alors j'ai fait l'espace membre tout marche impeccable. Mais quand je veux dire "Salut membre" membre étant le login du connecter j'arrive pas. Je pense que la seule solution c'est de savoir l'id du membre pour faire la requête de donner le login. Mais justement je ne sais pas comment retrouver l'id du membre. Quelqu'un pourrait-il m'aider ???
Merci d'avance
@++
moogli
le 15/07/2008 à 17:09
moogli
Déconnecté
Il en faut peu pour être heureux !!!!!
salut,

l'information recherché est dans le tableau $_SESSION.

Je pense que tu devrais relire le comment faire un espace membre et le tuto sur les sessions afin de bien tout comprendre ;)

@+
Nono42
le 15/07/2008 à 18:35
Nono42
Déconnecté
Salut,
Alors j'ai a moitié compris qu'il fallait faire un $_session_id... Mais moi pour exemple je voudrais que le login de l'utilisateur soit dit (par exemple salut nono42 ) et pour ça il faudrait lire dans la base de donnée le login de l'utilisateur.
Je ne pense pas que c'est en faisant $_session_id qu'on pourras trier les utilisateurs pour savoir son login.
Merci quand même Moogli
@++
LA GLOBULE
le 15/07/2008 à 19:12
LA GLOBULE
Déconnecté
111 111 111 x 111 111 111 = 12 345 678 987 654 321
Moogli avait pourtant la solution.

Je ne sais pas pourquoi tu te fixes sur un id, alors que dans le comment faire, tu as le login de l'utilisateur dans $_SESSION['login'].
Nono42
le 15/07/2008 à 21:18
Nono42
Déconnecté
Salut,
A oui, effectivement sa marche smiley smiley smiley
Mais ceci n'était qu'un exemple...
Imaginons que il y a une rubrique % qui contient 0. Et que je veux faire : Vous êtes a 0% d'être banni. Ce 0 je vais le trouver dans la rubrique %. Oui, mais il faut pour ici savoir l'id de l'utilisateur pour pouvoir trié les %... Vous comprenez ??
Enfin merci d'avance (et aussi merci... )
@++
moogli
le 16/07/2008 à 12:58
moogli
Déconnecté
Il en faut peu pour être heureux !!!!!

Vous comprenez ??


non mais je pense que :
- Tu devrais mettre l'id de l'utilisateur dans le tableau de session à la connexion puisque tu l'utilise
- Tu va un peut trop vite dans ton raisonnement sans regarder ce qui se passe au tour (si tu à créer un système de gestin du bannissement en fonction de l'id utilisateur, il te faut garder cet id quelque part, donc en session le reste c'est toi qui sait ;))

@+
Nono42
le 03/08/2008 à 13:46
Nono42
Déconnecté
Salut,
Déjà on vas prendre un autre exemple, avec des points (donc score ). Je suis à 2 doigts d'y réussir! Je m'explique: Déjà x (le membre ) à 65 points, maintenant je vais vous montrer le code de sélection des points en fonction des membres:
  1. <?php
  2. mysql_connect ('localhost', 'lerakata', '');  
  3. mysql_select_db ('lerakata'); 
  4.    $score = mysql_query("SELECT score FROM membre WHERE login='x'"); 
  5.    while ($donnees = mysql_fetch_array($score) )  
  6. {  
  7.  
  8. ?> 

Et puis pour afficher le mombre de points:
  1. Tu as<?php echo $donnees['score']; ?>points 

Voyez dans la sélection du membre (code 1 ) il y a login='x'. J'ai voulu remplacer ce login='x' par un login='$_SESSION['login']' mais pas moyen... A chque fois y'avait une erreur sql. Je pense aussi que les requête SQL ne supporte pas les sessions. Mais aurait-il un moyen de "convertir" $_SESSION['login'] en format lisible par la base de donnée ?
Merci d'avance
@++
LupusMic
le 03/08/2008 à 14:48
LupusMic
Déconnecté
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.
  1. <?php
  2. $score = mysql_query(sprintf("SELECT score FROM membre WHERE login='%s'", mysql_real_escape($_SESSION['login'])));  
  3. ?> 
Nono42
le 03/08/2008 à 19:39
Nono42
Déconnecté
Salut,
Merci LupusMic mais sa ne marche pas...
Désolé.
Enfin merci d'avance
@++
Sammuel
le 03/08/2008 à 19:56
Sammuel
Déconnecté
  1. $score = mysql_query("SELECT score FROM membre WHERE login = '".$_SESSION['login']."'"); 


smiley
LupusMic
le 04/08/2008 à 00:52
LupusMic
Déconnecté
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.
(Nono42) Il n'y a que les boulets qui disent que ça ne marche pas smiley
Si ça ne marche pas, il y a un message d'erreur, s'il y a une message d'erreur, ce serait sympa de l'indiquer.

(Sammuel) $_SESSION est issue d'une source non-sûre, il faut donc sécuriser la donnée avec [fonction]mysql_real_escape[/function].
Sammuel
le 04/08/2008 à 02:09
Sammuel
Déconnecté
Vu que tu créé $_SESSION['login'] après avoir vérifié que le compte existe bien via une requête SQL, comment pourrait t'elle être non-sûre ?

  1. $req = mysql_query("SELECT login FROM user WHERE login = '".mysql_real_escape($_POST['login'])."' AND password = '".mysql_real_escape($_POST['password'])."'");
  2. $row = mysql_fetch_assoc($req);
  3.  
  4. // VERIFIE SI LE COMPTE EXISTE ...
  5. // ET SIL EXISTE ON CREE UNE VARIABLE DE SESSION "LOGIN"
  6.  
  7. $_SESSION['login'] = $row['login']; 


$row['login'] étant une valeur provenant de la BDD et vérifiée via la requête , comment pourrait t'elle être non-sûre ?

Au départ, j'ajouté des mysql_real_escape devant $_SESSION dans mes requêtes, mais après avoir posté un message sur ce forum, on m'a dit que ce n'était pas nécessaire ^^
Keika
le 04/08/2008 à 03:50
Keika
Déconnecté
Le PHP --> C'est dur !
Je crois qu'il dit ca parceque les variables globales de session peuvent etre creees depuis un autre site et injectees dans le tiens. Donc si tu fais une requete sans echapper cette variable, des personnes mal intentionnees pourrait, par exemple, utiliser ton login admin et modifier ce qu'ils veulent...
LupusMic
le 04/08/2008 à 05:20
LupusMic
Déconnecté
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.
Pas vraiment Keika. En fait c'est plus vicieux que ça.

Premièrement, le nom d'utilisateur peut être « Al'fred » :) Et il vaut mieux ne pas faire de supposition sur le nom d'utilisateur plutôt que de se retrouver avec des bogues étranges.

Deuxiement, Sammuel, tu te places dans le script de connexion. Ici il serait effectivement malheureux que la donnée dans le tableau de session ne soit pas fiable, puisque tu es sensé l'avoir validé. Le problème, c'est qu'à la visite suivante, tu ne vérifie pas le login, car le login est en session. À ce moment là, les données en session peuvent très bien avoir été alterées suivant le backend que tu utilises. Surtout si tu es sur un serveur mutualisé, où tu aurais un méchant voisin qui écrit dans ton fichier de session pour te faire une mauvaise blague.

Enfin bref, il faut faire les choses au bon endroit. Les données doivent être sécurisée avant d'être soumise, pas en prévision d'être soumises. Ce serait comme appliquer htmlentities sur une donnée insérée en base de données : c'est un non-sens.
Nono42
le 04/08/2008 à 11:01
Nono42
Déconnecté
Salut,
Oui moi être petit boulet smiley
Mais heu... j'suis perdu là: le code que m'a donné Sammuel est correct, aucune erreur. En parlant d'erreur, le code que tu m'a donné LupusMic: l'erreur disait Fatal Error (sérieux ça smiley smiley )
Donc avec ce que je vient de lire le code de Samuel n'est pas sécurisé. Mais comment je le sécurise moi ??

Merci d'avance
@++
page 1 page 2
Répondre
Accès rapide :

Remonter Remonter
L'éditeur javascript - CSS - Gentoo - Tutoriaux PHP - Tutoriels PHP - Php - Breizh Blog