First commit

2025-12-18 15:17:27 +01:00
commit 33b34028f4
9 changed files with 3636 additions and 0 deletions
--- a/routes/auth_secure.js
+++ b/routes/auth_secure.js
@@ -0,0 +1,34 @@
+var express = require('express');
+var router = express.Router();
+var db = require('../db/database'); // Importe notre BDD
+
+/* POST /login - Version SÉCURISÉE */
+router.post('/login', function(req, res, next) {
+    const { username, password } = req.body;
+
+    // == LA CORRECTION (Requête préparée) ==
+    // On utilise des placeholders (?) pour les variables.
+    const sqlQuery = "SELECT * FROM users WHERE username = ? AND password = ?";
+    const params = [username, password]; // Les valeurs sont passées dans un tableau
+
+    console.log("Requête SÉCURISÉE préparée :", sqlQuery);
+    console.log("Valeurs :", params);
+
+    // Le driver (sqlite3) va "assainir" les entrées.
+    // L'injection ' OR 1=1 sera traitée comme une simple chaîne de texte
+    // et non comme du code SQL.
+    db.get(sqlQuery, params, (err, row) => {
+        if (err) {
+            // Transmet l'erreur au gestionnaire d'erreurs d'Express
+            return next(err);
+        }
+
+        if (row) {
+            res.json({ message: `(Sécurisé) Connexion réussie ! Bonjour, ${row.username} (rôle: ${row.role})` });
+        } else {
+            res.status(401).json({ message: "(Sécurisé) Échec de la connexion." });
+        }
+    });
+});
+
+module.exports = router;