Discussion :

[ABCIWEB]

Et sinon, c'est sûr que mon appli basée sur un formulaire est dangereuse (DROP DATABASE), mais y a que moi qui en connais les URLs (une par hébergeur).

Tu devrais faire des requêtes type (déjà écrites) à choisir dans un formulaire et en fonction du choix, ne laisser qu'un (ou plusieurs) paramètres comme variable à rentrer dans un autre formulaire ce qui permettrait au moins de contrôler les possibilités car rien n'est protégé actuellement. Ton "système de protection" est plus illusoire que réellement efficace.

Faudrait te faire un formulaire d'authentification avec login et mot de passe. C'est pas du temps perdu car tu pourras t'en servir pour tous les espaces administrateur.

[Bovino]

y a que moi qui en connais les URLs

No more comments...

[laurentSc]

Bon OK, il serait plus sûr de proposer une liste d'instructions dans une liste déroulante et de laisser libre le reste, si je mets pas le DROP dans la liste, sauf que je m'en sers aussi, donc comment faire ? Et d'autre part, qu'est-ce que je risque ?

[Invité]

qu'est-ce que je risque ?

Que quelqu'un, malgré tout, trouve l'URL du fichier (non protégé !) !
Et sachant que tu utilises sûrement le même type d'URL sur chacun de tes sites, TOUS TES SITES seront vulnérables !
(du genre : www.site1.com/admin/meme-pas-peur.php - www.site2.com/admin/meme-pas-peur.php - ... !)

..., donc comment faire ?

Lire/étudier les conseils déjà donnés.

...faire un formulaire d'authentification avec login et mot de passe. C'est pas du temps perdu car tu pourras t'en servir pour tous les espaces administrateur.

+ voir aussi :

• Qu'est-ce qu'un fichier .htaccess ?
• Comment mettre en place une authentification simple des utilisateurs ?

[ABCIWEB]

Tu peux trouver ici un exemple de formulaire complet qui permet en plus un hash du mot de passe pour éviter qu'il transite en clair dans les tuyaux.

L'autre solution donnée en dernier exemple par jreaux62 (authentification via http et htaccess) est plus rapide à mettre en place, mais elle est moins souple d'utilisation, moins transposable d'un site à l'autre et elle n'est pas personnalisable. Mais pour aller vite c'est le minimum vital.

Enfin bon il faudrait que tu t'intéresse sans plus tarder à la protection d'un espace administrateur (appelé aussi "espace membres" si tu veux plus de réponses dans google). Normalement cela se fait naturellement avant la création d'un espace administrateur, pas après, c'est bizarre que tu n'aies pas compris cette priorité. Tu te serais aperçu qu'on utilise jamais la méthode que tu utilises qui est vraiment trop puérile (en fait elle n'est même jamais mentionnée).

[Bovino]

J'imagine que la notion d'utilisateur et de privilèges pour une base de données t'es inconnue...

[Invité]

Si tu es LE SEUL à utiliser cet "admin", un .htaccess est le minimum vital pour protéger ton accès (avec login et mot de passe).
C'est à mettre en place d'urgence !!!
(si quelqu'un trouve l'URL, il faudra aussi qu'il trouve le login et mot de passe pour accéder à la page).

Mais, dès que possible, installe un VRAI "panel d'administration" (appelé aussi "espace administrateur") !