[Sécurité] Affichages d'une page avec différents droits d'accès

**franck.thibault** · 13/01/2007, 11h25

Voilà mon interrogation.

Pour une page web affichée, je souhaiterais afficher différents éléments en fonction de droits d'accès.
Y a-t-il une technique particulière évitant de faire des tests "un peu partout" en fonction des droits ?
Je ne sais pas si je suis clair dans mes expliquations mais je vous remercie d'avance pour vos réponses.

**Yoteco** · 13/01/2007, 11h47

Personnellement je travaille avec des niveau d'accès ce qui me permet de tout tester avec un seul if. Je te donne un exemple:

Tu crées tes différents goupres:

Membres [1]
Modérateurs [2]
Administrateurs [3]

Et dans ta base de donnée tu ajoutes un champs "access_level" dans lequel tu stockes le niveau d'accès que j'ai mis entre []. C'est pratique car dans 90% des cas les pages que les membres peuvent voir les Modérateurs et les Administrateurs le peuvent aussi. Ensuite moi je répértorie toutes mes pages dans une base de données ou je met l'ID de la page puis l'ID de la page parent (s'il y en a une...) et le niveau d'accès de la page. Puis sur ta page index.php tu n'as plus qu'à tester

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
 
// Tu fais un query sur la base pour retrouver le niveau d'accès de la page grâce à l'id de la page... Et normalement tu met le niveau d'accès de l'utilisateur dans une SESSION
 
if($_SESSION['userLevel'] >= $pageLevel)
{ 
     //affiche page
}
else
{ 
     //erreur d'accès
}

Voilà c'est un système très simple mais qui fonctionne. Seul petit défaut c'est que toutes tes pages doivent être répértoriées, mais sa peut aussi être un avantage...

**franck.thibault** · 13/01/2007, 12h16

Merci pour ta réponse mais ça je connaissais.
Je me suis mal expliqué. En fait, c'est à l'intérieur d'une page que je souhaiterais afficher des éléments en fonction des droits (par exemple, un boîte toto pour les membres, et une boîte toto et une tata pour les admins, et pas de boîte pour les invités).

**Kerod** · 13/01/2007, 12h21

Même principe tu testes ta variable session ou ton champ bdd. Mais il serait plus judicieux de récuperer les informations connexion du membre et les mettre en SESSION. Puis dans ton script gérer les différents cas à coup de if

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if($_SESSION['userlevel'] == ADMINISTRATEUR)
//traitement
else if....

avec ADMINISTRATEUR un constante définit à l'aide d'un define

**franck.thibault** · 13/01/2007, 12h24

Envoyé par Kerod

...Puis dans ton script gérer les différents cas à coup de if

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if($_SESSION['userlevel'] == ADMINISTRATEUR)
//traitement
else if....

avec ADMINISTRATEUR un constante définit à l'aide d'un define

C'est bien ce que je voudrais éviter. Y pas d'astuces de programmation qui pourraient éviter ça ?

**Kerod** · 13/01/2007, 13h02

Il te faudra quand même faire un traitement de condition pour les différents affichages. Sinon côté sécurité, j'ai dis une grosse bétise car si on arrive à récupérer ton id session on pourra avoir accès à ton administration

**franck.thibault** · 13/01/2007, 13h06

Envoyé par Kerod

Il te faudra quand même faire un traitement de condition pour les différents affichages.

OK merci

Envoyé par Kerod

Sinon côté sécurité, j'ai dis une grosse bétise car si on arrive à récupérer ton id session on pourra avoir accès à ton administration

Tu me conseilles quoi alors ? Je comptais gérer çà via les sessions

**Yoteco** · 13/01/2007, 13h19

Tu peux sécuriser tes sessions avec une base de donnée ou alors tu enregistres l'ip de l'utilisateur. Y a un tuto sur la sécurisation des sessions >>ICI<<