Contrôler les mots de passe avec HTML PHP

Il n’y a qu’une règle que vous devez absolument retenir concernant les formulaires HTML : il ne faut jamais faire confiance aux données envoyées par les utilisateurs.

• la simplicité du mot de passe ;
• l’écoute sur le réseau afin de collecter les mots de passe transmis ;
• la conservation en clair du mot de passe ;
• la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »). ​

• Créer le formulaire ci-dessous en utilisant des inputs et les attributs html5 qui permettent d’effectuer les vérifications suivantes:
• Les champs sont obligatoires
• L’email doit se terminer par « apcpedagogie.com »
• Attribuer en css une couleur de fond verte aux champs correctement remplis.



Afficher la solution

Partie HTML :


 <!doctype html>
<html>
<head>
	<title>th</title>
	<meta charset="utf-8">
</head>
<body>
	<form>
			<!-- Input de type emeil mais en plus se termine par apcpedagogie.com --> 
		<input type="email" placeholder="Email" pattern=".*apcpedagogie\.com$" required="required"/>
		<input type="password" placeholder="Password" required="required">
		<input type="submit" value="Envoyer">
	</form>
	
</body>
</html>


Partie CSS :


 <style type="text/css">
   /* Attribuer une couleur verte aux champs correctement remplis */
	input:valid {
  	background-color: #ddffdd;
	} 
	</style>

L’utilisation de types d’entrée standard avec l’attribut pattern donnera à vos formulaires une couche supplémentaire de validation, mais sachez que vous devez également effectuer une sorte de validation côté serveur.

Attention les contrôles de saisie par le navigateur (côté client) ne dispensent pas de contrôles côté serveur (en PHP).

En effet le JS peut être désactivé sur le navigateur. Avec certains outils un internaute chevronné peut modifier le code du formulaire (supprimer par exemple les attributs de contrôle).

• Quelques exemples de classes sous forme de liste :
• [@] : seul l’arobase est autorisé
• [.-_] : seuls le point, le tiret et le souligné sont autorisés
• [éèê] : seuls les e accentués sont autorisés
• Quelques exemples de classes sous forme d’intervalle :
• [a-z] : seules les lettres minuscules (de a à z) sont autorisées
• [A-z] : seules les lettres (minuscules et majuscules) sont autorisées
• [0-9] : seuls les chiffres sont autorisés
• Exemples plus complexes :
• [A-z0-9] : deux intervalles ; les lettres et les chiffres sont autorisés
• [a-zéèê] : un intervalle suivi d’une liste ; les lettres minuscules y compris les e accentués sont autorisés

• Un quantificateur suit une classe et indique le nombre de caractères autorisés à saisir.
• Un quantificateur est entre accolades.
• Exemples de quantificateurs :
• {2} : saisir deux caractères autorisés
• {3,8} : saisir entre 3 et 8 caractères autorisés
• {3,} : saisir entre 3 et infini caractères autorisés
• On peut exprimer plus simplement le quantificateur sous forme d’un symbole suivant la classe :
• * : caractère précédent de 0 à plusieurs fois (qui définit un groupe qui existe zéro ou plusieurs fois)
• + : caractère précédent de 1 à plusieurs fois (qui définit un groupe qui existe une ou plusieurs fois)
• ? : caractère précédent de 0 à 1 fois (qui définit un groupe qui existe zéro ou une fois)

pattern="^(?=.*[a-z])(?=.*[A-Z])(?=.*\d).{8,}$"
• $ : Fin de la chaîne.
• (?=.*[a-z]): Cette partie utilise une « positive lookahead assertion » pour s’assurer qu’il y a au moins une lettre minuscule (a-z) dans le mot de passe.
• (?=.*[A-Z]): De même, cette partie utilise une « positive lookahead assertion » pour s’assurer qu’il y a au moins une lettre majuscule (A-Z) dans le mot de passe.
• (?=.*\d): Encore une fois, une « positive lookahead assertion » pour s’assurer qu’il y a au moins un chiffre (\d) dans le mot de passe.
  • (?=.*\d): C’est une assertion positive qui utilise .* pour correspondre à zéro ou plusieurs caractères (n’importe quoi), suivi de \d pour correspondre à un chiffre.
  • (?= ... ): utilisé pour vérifier si l’expression spécifiée à l’intérieur des parenthèses peut être trouvée à partir de la position actuelle dans la chaîne, mais sans consommer les caractères. Si la condition est vérifiée, la recherche continue à partir de la même position dans la chaîne. Sinon, la recherche échoue à cet endroit et se poursuit à la prochaine position.
  • ( ... ):Les parenthèses délimitent l’expression à évaluer.
  • ?=: C’est le symbole qui indique qu’il s’agit d’une « positive lookahead assertion« 
• .{8,}: Cette partie spécifie que le mot de passe doit être composé d’au moins 8 caractères de n’importe quel type.
• $ : Fin de la chaîne.

pattern="^(?=.*[A-H])(?=.*[0-9])[A-H0-9]{8}$"

• ^ : Début de la chaîne.
• (?=.*[A-H]) : Assertion positive pour vérifier la présence d’au moins une lettre entre A et H.
• (?=.*[0-9]) : Assertion positive pour vérifier la présence d’au moins un chiffre.
• [A-H0-9]{8} : Correspond à huit caractères qui peuvent être soit des lettres entre A et H, soit des chiffres.
• $ : Fin de la chaîne.

{8,} : Au moins 8 répétitions.
{8} : Exactement 8 répétitions.
{,8} : Jusqu’à 8 répétitions.

• <input type= »password » pattern= »[A-F][0-9]{5} »>
• Ce champ attend une valeur numérique d’au moins 5 chiffres précédés d’une lettre majuscule comprise entre A et F.
• <input type= »password » id= »pwd » name= »txtpwd » required size= »45″
  pattern= »[a-z]{4,8} » title= »4 à 8 Lettres minuscules »>
• Ce champ attend de 4 à 8 lettres minuscules de a à z.
• <input id= »mot_de_passe » name= »mot_de_passe » type= »password » title= »Au moins 8 caractères, un chiffre, une lettre majuscule et une minuscule » required
  pattern= »(?=^.{8,}$)((?=.*d)|(?=.*W+))(?![.n])(?=.*[A-Z])
  (?=.*[a-z]).* » />
• Ce champ attend au moins 8 caractères, un chiffre, une lettre majuscule et une minuscule.

<!DOCTYPE html>
<head>

<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js"></script>
<script type="text/javascript"> 
$(document).ready(function() 
{ 
$('#pwd').keyup(function() 
{ 
$('#affichageMessage').html(checkStrength($('#pwd').val())) 
}) 
function checkStrength(password) 
{ 
var strength = 0 
if (password.length < 6) { 
$('#affichageMessage').removeClass() 
$('#affichageMessage').addClass('short') 
return "<font color='red' size='3'>Trop court</font>" 
} 

if (password.length > 7) strength += 1 
if (password.match(/([a-z].*[A-Z])|([A-Z].*[a-z])/)) strength += 1 
if (password.match(/([a-zA-Z])/) && password.match(/([0-9])/)) strength += 1 
if (password.match(/([!,%,&,@,#,$,^,*,?,_,~])/)) strength += 1 
if (password.match(/(.*[!,%,&,@,#,$,^,*,?,_,~].*[!,%,&,@,#,$,^,*,?,_,~])/)) strength += 1 
if (strength < 2) 
{ 
$('#affichageMessage').removeClass() 
$('#affichageMessage').addClass('weak') 
return "<font color='red' size='3'>Faible</font>" 
} 
else if (strength == 2) 
{ 
$('#affichageMessage').removeClass() 
$('#affichageMessage').addClass('good') 
return "<font color='orange' size='3'>Bien</font>" 
} 
else 
{ 
$('#affichageMessage').removeClass() 
$('#affichageMessage').addClass('strong') 
return "<font color='green' size='3'>Fort</font>" 
} 
} 
}); 
</script> 
</head>
<body>

<div>
	<center><form id="fiabiliteMotdePasse"> 
		<label>Mot de passe : </label> 
		<input name="pwd" id="pwd" type="password"/> 
		<span id="affichageMessage"></span> 
		</form><br/> 
</div>
</body>

</html>

• Reprendre l’application précédente et ajouter la contrainte suivante:
• Le password doit contenir entre 7 et 10 caractères dont au moins un est impérativement un chiffre exemple (passw12,5password…).
Afficher la solution

 
		<input type="password" placeholder="Password" maxlength="10" pattern="(?=.*\d)(?=.*[a-z])\w{7,10}" required="required">

• le cadre de l’exercice sera de tester la bonne constitution d’un mot de passe sécurisé.
• Un mot de passe valide aura :
• de 8 à 15 caractères
• au moins une lettre minuscule
• au moins une lettre majuscule
• au moins un chiffre
• au moins un de ces caractères spéciaux: $ @ % * + - _ !
• aucun autre caractère possible: pas de & ni de { par exemple)
Afficher la solution
Coté HTML

^(?=.*[A-Z])(?=.*[a-z])(?=.*\d)(?=.*[-+!*$@%_])([-+!*$@%_\w]{8,15})$





Coté PHP

<?php

    $password = $_POST['password'];
 
    if (preg_match('#^(?=.*[a-z])(?=.*[A-Z])(?=.*[0-9])(?=.*\W)#', $password)) {
        echo 'Mot de passe conforme';
	}
	
    else {
        echo 'Mot de passe non conforme';
	}	
?>

• La fonction preg_match() permet de rechercher une ou plusieurs occurrences d’un caractère. On l’utilise ici pour tester la présence de nos différentes familles dans la chaîne $password.
• Le symbole # délimite le regex.
• Le symbole^ placé au début indique tout simplement le début de la chaine.
• (?=.*[a-z]) permet de tester la présence de minuscules.
• (?=.*[A-Z]) permet de tester la présence de majuscules.
• (?=.*[0-9]) permet de tester la présence de chiffres.
• (?=.*\W) permet de tester la présence de caractères spéciaux (\W indique ce qui ne correspond pas à un mot).
• Le caractère $  indique la fin de la chaîne.
• Le chiffre {8,15} définit la longueur minimale et maximale de caractères que la chaîne doit admettre pour être validée. On vérifie donc ici que la chaîne se termine sur au moins 8 caractères.
• Que donne les expressions régulières suivantes :
• #^[A-Za-z -]*$# : Vérifie qu’une chaîne est composée des caractères de a à z, de – et (d’espace).
• #^[0-9]{1,2}/[0-9]{1,2}/[0-9]{1,4}$# :Vérifie qu’une chaine est au format xx/xx/xxxx où x est un nombre.
• #^TN[0-9]{2}( ?[0-9]{3}){3}$# :

• Quelqu’un dit, je dois vérifier le format d’un mot de passe lorsqu’un utilisateur s’inscrit sur un site et crée son mot de passe. Le mot de passe doit contenir au moins une majuscule, une minuscule, un chiffre, et 8 caractères. Comment faire pour vérifier le format du mot de passe, selon ces critères, en PHP ?
Afficher la solution

<?php
function check_mdp_format($mdp)
{
	$majuscule = preg_match('@[A-Z]@', $mdp);
	$minuscule = preg_match('@[a-z]@', $mdp);
	$chiffre = preg_match('@[0-9]@', $mdp);
	
	if(!$majuscule || !$minuscule || !$chiffre || strlen($mdp) < 8)
	{
		return false;
	}
	else 
		return true;
}

if (check_mdp_format("1Formatik") != true)
{
	echo "Format non correct";	
}
else 
	echo "Format correct";
?&lgt;