Discussion :

[salmer]

salut !
les sessions au niveau de mon site marchent bien mais le problème est que si je me déconnecte et je retourne avec le boutton précédent je retourne à la page qui est normalement protégée par les sessions aussi si je copie l'url de la barre d'adresse et que je la copie ds une nouvelle fenêtre je peux aussi accéder à une page qui est supposée être protégée . je ne sais pas koi faire vraiment. Au niveau de la déconnexion j'ai vidé mes variables de session
ex: session("a")=""
session.abandon
response.redirect("accueil.asp")

Merci pour votre aide

[Immobilis]

Faudrait que tu nous explique comment fonctionne ta sécurité.
En utilisant les variables de session, le plus classique est de verifier à chaque page sécurisé que la session est valide.

[salmer]

salut
je fais la vérification au niveau de chaque page; je récupère les variables de session de la page acces.asp qui contient le formulaire d'identification, et au niveau de chaque page je récupère ces variables et je refais la meme requete pour vérifier la validité:

pseudo=request.form("pseudo")
sql="select * from user where pseudo like '" & pseudo & "'"
set rs = conn.execute(sql)
if not rs.eof then
session("pseudo") = pseudo

Merci

[amar00]

je ne sais pas si ça répondra à ton problème mais perso je fais comme suit.
j'ai une page réservée pour la destruction des variables de session dessus je fais un session.abandon puis un redirect vers une autre page.
Le fait d'effectuer les traitements au niveau d'une page dédiée (cad qui ne retourne rien au client) évite les problèmes liés aux manip du bouton précédent du navigateur.

[Nightfall]

Après avoir fait précédent ou tapé l'adresse tu as réactualisé pour voir (avec F5 sous IE) ? Ce serait pas la page dans le cache qu'il t'afficherait des fois ?

[salmer]

oui j'ai fais F5 mais ça n'a rien changé j'ai même écrit
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="expires" content="0">
<meta http-equiv="cache-control" content="no-cache">
dans la page à laquelle il ne faut pas accéder

[salmer]

amar00 j'ai pas compris ce que tu m'as proposé
merci

[amar00]

mettons que tu as un lien se déconnecter sur toutes les pages de l'espace privé de ton site.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href=".....deconnect.asp">se déconnecter</a>

le code de deconnect.asp

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
<% @ LANGUAGE="VBSCRIPT" %>
<%
'destruction des variables de session liées à l'utilisateur en cours
Session.abandon
'redirection vers page de l'espace public(on confie la gestion 
'de la réponse HTTP à une autre page asp)
response.redirect  "page d'accueil de l'espace public"
%>

[Phiss]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
pseudo=request.form("pseudo")
sql="select * from user where pseudo like '" & pseudo & "'"
set rs = conn.execute(sql)
if not rs.eof then
session("pseudo") = pseudo

C'est le code que tu mets en début de chaque page?
Si oui tu mets un formulaire sur chaque page?
si non c'est quoi le code que tu as en haut de chaque page?

[salmer]

oui je met ce code au niveau de chaque page

pseudo=request.form("pseudo")
sql="select * from user where pseudo like '" & pseudo & "'"
set rs = conn.execute(sql)
if not rs.eof then
session("pseudo") = pseudo

j'ai un seul formulaire au niveau de la page d'accueil

merci

[Phiss]

Tu as résolu ton problème?

Car en fait en haut de chaque page tu ne teste pas ta session.

Du moins pas dans la partie du code que tu nous a donné.
Si tu veux réellement tester ta variable session en haut de chaque page il faut pas passer par la requete. Il te faudra passer par un test de la session.

[salmer]

je n'ai toujours pas résolu le probleme,
tu peux m'expliquer comment faire ce test?

[Phiss]

Pour moi le plus simple est de faire comme ça:

Tu gardes ta page de login.
La page qui est juste après tu mets le bout de code que tu avais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
pseudo=request.form("pseudo")
sql="select * from user where pseudo like '" & pseudo & "'"
set rs = conn.execute(sql)
if not rs.eof then
session("pseudo") = pseudo

Du coup après tu teste la session("pseudo") en haut de chaque page de ton site qui doit être protégé par log.
Du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if session("pseudo") = "" then
response.redirect("mapage de log.asp")
end if

Par contre lors de la déconnexion tu fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
session("pseudo") = ""

Pour plus de sécurité il faut tester en même temps que tu regarde le contenu de la session("pseudo") le fait qu'elle existe ou non.

[Immobilis]

Par contre lors de la déconnexion tu fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
session("pseudo") = ""

Plutôt

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Session.Contents.RemoveAll()

A+