[SQL] Sécurité et redirections multiples [Résolu]

[Ywan1]

Bonjour à tous,

Etant débutant en PHP, je suis régulièrement confronté a des problèmes de syntaxe dûs à mes très faibles connaissances en la matière.
Je me permets donc de faire appel à vos connaissances pour m'orienter dans la bonne direction.

Le contexte :
Je souhaite que depuis une page d'identification (page1), les utilisateurs soient rédirigés vers une seconde (page2) en fonction de leur login.
A noter que je souhaite sécuriser les répertoires contenant les pages (htaccess).

Comment créer une page qui redirige automatiquement en fonction du login utilisateur ?

Nota : j'ai bien entendu parler des variables $PHP_AUTH_USER mais je ne vois pas en quoi cela pourrait-être utile dans mon cas.

Si quelqu'un de plus compétent que moi (pas trop difficile à faire ) pouvait m'aider un peu... je nage complètement.

Par avance, merci à vous.

[trotters213]

et bienvenu,

Ce que tu peux faire c'est rediriger les gens vers la page2 et là tu testes le login qu'ils ont entrés, et selon le login qu'ils ont tapés, tu utilises la fonction header() pour faire la redirection vers la bonne page.
Tu as, ici, un exemple parfait pour toi de redirection PHP utilisant la fonction header.

[akara]

Moi ce que j'aurais fait :
1° dans la table ooù se trouve mon login j'aurais créé un champs id_page
qui aurait fait référence à un id d'une table page où j'aurais stocké les noms des pages puis selon le login attribuer le id_page

2° quand l'utilisateur se connecterai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$sql = 'select tb_table.login as login , tb_page.page as page from tb_table , tb_page where tb_table.login =".$login." AND tb_table.id_page = tb_page.id_page';
$res = mysql_query($sql);
$page = mysql_fetch_assoc($res);

puis

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
////code connextion si login & mdp valid alors
header($page['page']);

[Ywan1]

Excellent et vraiment rapide !!

Je viens de comprendre l'interêt de la fonction header().
Je me lance dans la lecture de la FAQ sur ce sujet.

Merci encore trotters213

P.S.: Il n'est pas exclu que je revienne sur ce même thread pour poser encore quelques questions sur le sujet, mais au moins, j'aurais des questions un peu plus précises et pertinentes à poser !

[EDIT] Merci également à Akara qui a été plus rapide que moi pour rédiger ce message [/EDIT]

[trotters213]

Citation:

Envoyé par akara

2° quand l'utilisateur se connecterai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Aïe, l'injection SQL possible

[akara]

ah ...& comment eviter l'injection?

[trotters213]

Citation:

Envoyé par akara

ah ...& comment eviter l'injection?

Il y a plusieurs possibilités :

• utiliser mysql_real_escape_string()
• activer magic_quote_gpc
• utiliser addslashes
• ...

[akara]

j'ai vu que magic_quote_gpc est activé par défault...cela suffit non ?

[trotters213]

Citation:

Envoyé par akara

j'ai vu que magic_quote_gpc est activé par défault...cela suffit non ?

Dans ce cas tu peux utiliser cette fonction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<?php
function quote_smart($value)
{
   // Stripslashes
   if (get_magic_quotes_gpc()) $value = stripslashes($value);
   // Protection si ce n'est pas un entier
   if (!is_numeric($value))$value = "'" . mysql_real_escape_string($value) . "'";
   return $value;
}
?>

comme ça t'es tranquille

[akara]

saluut
donc faut que j'applique cette function à tous les variables tous tous tous... ?!

[koopajah]

Citation:

Envoyé par akara

saluut
donc faut que j'applique cette function à tous les variables tous tous tous... ?!

toutes les variables transmises en GET et en POST en tout cas oui.

[akara]

niarf...
Merci