Bonjour,
Je développe actuellement un cms et par conséquent un système de gestion d'utilisateur avec formulaire login/mot de passe (logique ).
J'utilise le même système pour gérer mon site web de présentation de ce cms.
Je me suis rendu compte aujourd'hui que quelqu'un avait eu accés à ma partie privé donc a soit contourner mon système de login, soit il a trouvé mon mot de passe.
Comment je gère mes utilisateurs:
Sur chaque page à accés restreint je fais un test pour vois si un utilisateur est loggué, si non il est redirigé sur la page de login.
Quand l'utilisateur submit le formulaire je cherche le username en base de données, si le mot de passe correspond avec l'utilisateur je mets en variable session le username et l'id de cet utilisateur.
Donc à chaque fois que l'utilisateur accède ensuite à une page je fais un check que le couple id/username existe bien en bdd, sinon retour à la case login.
Ma question est donc: selon vous est ce un bon système de login? Sinon je crois que je suis bon à changer de mot de passe .
Merci
Partager