[Sécurité] Affichages d'une page avec différents droits d'accès [Résolu]

[franck.thibault]

Voilà mon interrogation.

Pour une page web affichée, je souhaiterais afficher différents éléments en fonction de droits d'accès.
Y a-t-il une technique particulière évitant de faire des tests "un peu partout" en fonction des droits ?
Je ne sais pas si je suis clair dans mes expliquations mais je vous remercie d'avance pour vos réponses.

[Yoteco]

Personnellement je travaille avec des niveau d'accès ce qui me permet de tout tester avec un seul if. Je te donne un exemple:

Tu crées tes différents goupres:

• Membres [1]
• Modérateurs [2]
• Administrateurs [3]

Et dans ta base de donnée tu ajoutes un champs "access_level" dans lequel tu stockes le niveau d'accès que j'ai mis entre []. C'est pratique car dans 90% des cas les pages que les membres peuvent voir les Modérateurs et les Administrateurs le peuvent aussi. Ensuite moi je répértorie toutes mes pages dans une base de données ou je met l'ID de la page puis l'ID de la page parent (s'il y en a une...) et le niveau d'accès de la page. Puis sur ta page index.php tu n'as plus qu'à tester

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
 
// Tu fais un query sur la base pour retrouver le niveau d'accès de la page grâce à l'id de la page... Et normalement tu met le niveau d'accès de l'utilisateur dans une SESSION
 
if($_SESSION['userLevel'] >= $pageLevel)
{ 
     //affiche page
}
else
{ 
     //erreur d'accès
}

Voilà c'est un système très simple mais qui fonctionne. Seul petit défaut c'est que toutes tes pages doivent être répértoriées, mais sa peut aussi être un avantage...

[franck.thibault]

Merci pour ta réponse mais ça je connaissais.
Je me suis mal expliqué. En fait, c'est à l'intérieur d'une page que je souhaiterais afficher des éléments en fonction des droits (par exemple, un boîte toto pour les membres, et une boîte toto et une tata pour les admins, et pas de boîte pour les invités).

[Kerod]

Même principe tu testes ta variable session ou ton champ bdd. Mais il serait plus judicieux de récuperer les informations connexion du membre et les mettre en SESSION. Puis dans ton script gérer les différents cas à coup de if

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if($_SESSION['userlevel'] == ADMINISTRATEUR)
//traitement
else if....

avec ADMINISTRATEUR un constante définit à l'aide d'un define

[franck.thibault]

Citation:

Envoyé par Kerod

...Puis dans ton script gérer les différents cas à coup de if

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

avec ADMINISTRATEUR un constante définit à l'aide d'un define

C'est bien ce que je voudrais éviter. Y pas d'astuces de programmation qui pourraient éviter ça ?

[Kerod]

Il te faudra quand même faire un traitement de condition pour les différents affichages. Sinon côté sécurité, j'ai dis une grosse bétise car si on arrive à récupérer ton id session on pourra avoir accès à ton administration

[franck.thibault]

Citation:

Envoyé par Kerod

Il te faudra quand même faire un traitement de condition pour les différents affichages.

OK merci

Citation:

Envoyé par Kerod

Sinon côté sécurité, j'ai dis une grosse bétise car si on arrive à récupérer ton id session on pourra avoir accès à ton administration

Tu me conseilles quoi alors ? Je comptais gérer çà via les sessions

[Yoteco]

Tu peux sécuriser tes sessions avec une base de donnée ou alors tu enregistres l'ip de l'utilisateur. Y a un tuto sur la sécurisation des sessions >>ICI<<

[franck.thibault]

Merci pour tout.

[jc_cornic]

Juste pour clore la discussion, pensez à cocher "résolu" quand c résolu

[franck.thibault]

Citation:

Envoyé par jc_cornic

Juste pour clore la discussion, pensez à cocher "résolu" quand c résolu

Oups ! désolé. Voilà qui est fait