header est-il fiable ?

[psychoBob]

Bonjour,

Avant j'avais une condition pour afficher ou non le script central de la page.
Je faisais:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if(isset($_SESSION['idMembre']))
{
affiche le script;
}
Avec la variable idMembre créé après l'identification

Avec ça la page s'affichait, mais il y avait un message d'erreur si la variable de session n'était pas présente.

Maintenant je fais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
if(!isset($_SESSION['idMembre']))
{
 die(header('Location: http://www.site.com/identification.php'));
;}

Donc là, plus de message d'erreur le gars est immédiatement redirigé sur la page d'identification.
Mais est-ce fiable ? Peut-on désactiver un header ? Je crois par exemple que certains navigateur ne les acceptent pas (j'ai lu ça pour IE 4 et des poussières je crois, vous me direz c'est très vieux mais un pirate peut justement s'en servir pour ça par exemple. Et puis c'est peut être le cas pour d'autres navigateurs, entre autres failles).

[Maxoo]

c'est pour faire quoi un logout ???

moi je fais ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
session_start();
session_destroy();
header("location:../index.php");
?>

et voila le tour est joué, un header étant dans ton code php, est executé sur le serveur, donc non je vois pas comment il pourrait faire autrement pour détourner cela.

[psychoBob]

Qu'est ce que t'appelles un logout Maxoo?
Une procédure de déconnexion ?
le code que tu files c'est pour montrer comment on déconnecte ?
Perso je déconnecte pas, le gars est pas connecté sinon justement ça s'affiche.

Citation:

et voila le tour est joué, un header étant dans ton code php, est executé sur le serveur, donc non je vois pas comment il pourrait faire autrement pour détourner cela.

Hum maintenant que tu me dis ça, j'avais peut être lu ça pour les header fait en javascript ou html.

Bon bah c'était un bon petit post qui n'en veut j'ai l'impression, hein...
Archi inutile de retester la présence ou non d'une session pour l'affichage d'un script dans la page, le header suffit tout en haut pour interdire l'accès à la page si la session est absente, c'est certain ?

[Thuliad]

heu là tu vérifie toujours "la présence ou non d'une session" non ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
if(!isset($_SESSION['idMembre']))
{
 die(header('Location: http://www.site.com/identification.php'));
;}

le die() va tout stopper, le serveur n'interpretera pas plus loin, le client ne peut absolument rien y faire.

[psychoBob]

Ouais je suis convaincu.

Mais est-ce plus sûr de faire le test avec isset($_COOKIE[ session_name() ] ) ou avec $_SESSION['uneVariableDeSession'] ?

[Seb06]

Citation:

Envoyé par psychoBob

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Avec ça la page s'affichait, mais il y avait un message d'erreur si la variable de session n'était pas présente.

Bonjour,

Et si jamais tu mets

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if(isset(@$_SESSION['idMembre']))

? Le message d'erreur s'affiche encore ?

[psychoBob]

Euh...pourquoi tu me demandes ça ?
Quand je parlais d'un message d'erreur c'était un message d'erreur à destination du visiteur, écrit par moi même, pas un code erreur php. Le sujet de la question était d'ailleur.

M'enfin puisqu'on y est, c'est quoi ce @ subrepticement inséré ? Il est censé servir à quoi ?

[Maxoo]

le @ veut dire : meme si y a des erreurs, n'affiche rien !!!

[psychoBob]

Tiens une question comme ça : est-il possible d'avoir un header à retardement qui ne change de page qu'au bout d'un temps donné précisé en paramètre, comme on peut le faire avec les header html (ou javascript je sais plus)

[Maxoo]

un header étant fait coté php, si tu mets du temps, bah tu cliques et tu attends 5 secondes ta page.

je vois pas vraiment bien l'interet