Sécurité Session/niveau d'utilisateur

[Klausw]

Bonjour à tous,

J'aimerais simplement avoir votre aide ou votre avis sur la facon dont je manipule les sessions.


Je vous simplifie un exemple de mon utilisation type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
//Lorsque la connection du membre est validée, je stock les données récupéré de ma BDD, dans le tableau de  session :
 
$_SESSION['user_id'] = $identifiant_unique_de_lutilisateur;
 
$_SESSION['user_level'] = $niveau_de_permissions_de_lutilisateur;
 
//Ensuite sur une page qui gere différents rangs (permissions) d'utilisateurs, je fais un simple check :
 
if($_SESSION['user_level'] ==1) {
 echo 'Bonjour utilisateur';
}
if($_SESSION['user_level'] ==2) {
 echo 'Bonjour Administrateur';
}

Voilà j'ai très simplifié, mais c'est pour expliquer clairement, donc j'aimerai savoir si c'est sécurisé où si je ferais mieux de vérifier le rang de l'utilisateur sur chaque page via une requête SQL avec en "WHERE", le mot de passe et username cryptés (récupérés dans un cookie que j'aurai créé lors de la première connexion au site)?


En gros est ce qu'il y a un moyen pour un utilisateur mal attentionné de modifier la variable $_SESSION['user_level'] ou de s'atribuer celle d'un autre bien qu'elle soit stocké server side ?

Merci d'avance à tous

[sabotage]

Un article qui t'expliquera tout :
http://guillaume-affringue.developpe...e/chiffrement/

[Klausw]

Merci pour cette réponse, j'ai tout lu, donc si je comprend bien la seule façon pour une personne mal intentionnée d'accéder à la session d'un autre ou dans mon cas d'un utilisateur de rang2 (admin, moi par exemple) c'est d'intercepter les données entre mon PC et le serveur, en gros aucune chance tant que je reste sur ma box chez moi qui est de plus dépourvue de wifi.