[Sécurité] Identification et mot de passe avec session

[mcdelay]

bonjour,

J'ai developpé un formulaire en php permettant a un utilisateur de modifier des données. Je voudrais rendre accessible ce formulaire a d'autres utilisateurs mais en mode consultation, bref en éliminant les contrôles permettant les modifications du formulaire.
Je voudrais ainsi faire avant un formulaire d'identification permettant d'adapter le formulaire suivant l'utilisateur logger.

Je voudrais adopter la méthode la plus pratique. Mes questions sont les suivantes :

Vaut-il mieux faire deux formulaires distincts (modification ou consulatation) et pointer sur l'un des deux suivants l'utilisateur connéctés? Ou, mieux vaut-il mettre des conditions dans le formulaires du style if $_SESSION[User] and $_SESSION [Password] alors afficher ou pas cette partie du formulaire ( je pensais d'ailleurs faire cette méthode) ? Si cette derniere est retenue quelles sont les conditions à mettre (session user et/ou password)

Une autre question concernant de la durée de la session, je pensais limiter la durée en mode modification si l'utilisateur n'a produire aucune action sur le formulaire. Comment peut on mettre en place ce la facilement ?

Voila, si il y a déja eu des exemples je suis preneur...

Merci

[bigltnt]

Salut !

Ben pour ma part je pense qu'un fois que l'utilisateur s'enregistre, tu crees une variable $_SESSION['id_util']. On n'enregistre généralement pas le mot de passe, ca ne sert a rien et ca n'est pas forcément sécurisé. Et puis si $_SESSION['id_util'] existe, l'utilisateur courant à forcément mis le bon mot de passe et est donc enregistré... si tu me suis

POur ton formulaire, tu peux prendres la méthode que tu souhaites. Ca ne change pas grand chose tant que c'est bien développé. Moi cependant, je préfère séparer les parties; je fais plusieurs formulaires selon les "INSERT, UPDATE, SELECT" et je fais les "DELETE" au clic dans une liste.

Pour $_SESSION, il faut que tu ailles voir ici pour gérer la durée phpManual

Voila ++

[tiger63]

Bonjour
Pour ta session j aimerai rajouter un ptit quelque chose:
Voila une var de session id toute seule n'est pas vraiment securiser, il suffit que ton uti prenne ouvre une autre pageweb contenant la meme var de session et kil la modifie pour que ta var de session ne soit plus fiable!
JE te conseil de rajouter en plus de cette variable une autre variable de session contenant des donnee cripter du style :
$_session['clef']=md5($nom.$prenom.$id)
Et quans tu es sur le formu de modif, tu controle que ta variable de session correspond bien a tes données recuperer dans ta requete.
Tu me suit??

Ps: Moi perso j'utilise qu'un formu pour l'insertion et la modif mais un autre pour la consultation.
Pour la suppression , je le fait egalement a partir d'une liste mais bon... ca depend des cas bien sur

Voili voilou

Tiger63
Ke le tigre soit en toi!!

ps: pour la duree de ta session, va voir le site indique dans l'autre post, c'est tres bien
bvo bigltnt

[yanhl]

il faut faire deux pages distinctes, l'une pour la consultation et l'autre pour la modification.

c'est là qu'utiliser les templates est bien utile, tu n'as qu'à choisir le fichier html pour l'affichage, la récupération et le remplissage des données est le même.

et sinon, on vérifie toujours l'identité de l'utilisateur et on vérifie ses droits au moment de la sauvegarde, et pas pour l'affichage ou non d'un formulaire.

Sinon c'est trop simple à gruger, il suffit d'aller sur un formulaire actif, de modifier l'id du formulaire via la barre d'adresse en une ligne javascript (ou toute autre méthode) et le "contrôle" de sécurité n'a servi à rien.

bonne chance