[Sécurité] Protéger l'accès à une page php

[nitteN]

Bonjour, je viens d'installer un script allopass su mon site , pour genéré ce script propre a allopass j'ai dut créé 3 pages :
-Buy_credits.php ( ou se trouve le script allopass )
-buy_credits_ok.php ( la page afficher si le code est bon )
-buy_credits_erreurphp ( la page si le code n'est pas bon )

Mais si l'on tape dans le naviguateur ladresse de la page buy_credits_ok.php , on arrive a ne pas passer par la page buy_credits.php

Je fait appel a vous pour vous demander comment je pourrez faire pour proteger la page c'est a dire , effectuer l'action de la page seulement si l'on vien de la page buy_credits.php ouy alors un autre moyen plus securiser

Merci beaucoup pour vos futurs réponses

[12monkeys]

Hello

Tu peut initialiser une variable dans la page buy_credits.php que tu vas mettre dans la session.

Ensuite dans les autres pages tu vérifie si cette varible est initialisée. Si oui c'est qu'il vient de la bonne page et donc OK pour la suite, si non tu fais une redirection sans exécuter ce qui se trouve sur la suite de la page.

Attention : penser lors de ta dernière page à supprimer cette variable dans la session, histoire que la même personne ne revienne pas plusieurs fois sur les pages 2 et 3 de ton exemple...

[nitteN]

humm , ok merci pour cette reponse mais enfaite si je créé une variable dans la session quand la personne se met sur la page , si elle ne rentre pas le code la variable est quand même créé et si il se connect sur la page buy_credits_ok.php depuis la page buy_credits il aurait la session :/ j'avait penser de créé la session juste apres la reception du code allopass sur mon compte mais je ne sais pas du tout comment faire car le script fournit par paypal envoi des données sur le site donc je ne peut pas créé de variable apres validation :/ quelqu'un aurait une idée ?

[12monkeys]

Ben en fait, comme tu peut t'en douter , je ne connais pas tes pages et je ne sais pas ce qu'elles font, donc je te donnais une idée à adapter...

Pour une réponse plus précise il faut un peu détailler ce que font tes pages...

[nitteN]

oui j'avoue que je ne suis pas très explicite enfaite sur la page buy_credit.php il y a juste le script allopass ( je vais te mettre les page dans la suite du post ) ce sont des page de test car c'est la première fois que je vais me servir d(allopass . enfaite dans la page buy_credits je vérifie que le membre est bien connecté etc et ensuite le script allopass , la personne rentre le code ensuite il se connecte sur le site de allopass qui gere pour voir si le code et bon et renvoi sur la page adéquate ( soit buy_credits_ok ou soit buy_credits_error , en fonction de la validité du code ) , je ne met pas le code de ces 2 pages car ce sont juste du code avec : bon au mauvais code


Page : Buy_credits.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
<?php
session_start();
if ($form == 'sent') {
    unset($HTTP_SESSION_VARS);
    session_destroy();
}
global $sess_name, $sess_passwd, $sess_data;
session_register("sess_name");
session_register("sess_passwd");
session_register("sess_data");
include($DOCUMENT_ROOT . '/vars.php');
include($DOCUMENT_ROOT . '/headfoot.php');
mysql_connect($db_host, $db_user, $db_pwd);
mysql_select_db($db_name);
if (!isset($HTTP_SESSION_VARS["sess_name"]) || !ereg($self_name, $HTTP_REFERER)) {
    if ($form = 'sent' && ereg($self_name, $HTTP_REFERER)) {
        if ($email == "" || $passwd == "" || ereg('%', $email) || ereg('%', $passwd)) {
            echo("<head><title>$title</title><meta http-equiv=\"Refresh\" content=\"1;URL=$self_url\"></head><body><font face=\"$fontface\" color=\"red\"><span style=\"font-size:250%\">$title</span><br><span style=\"font-size:150%\">Acces Refusé</span></font></body></html>");
            unset($HTTP_SESSION_VARS);
            session_destroy();
            exit;
        }
        global $email, $passwd;
        $sess_name = $email;
        $sess_passwd = $passwd;
        header("Location: $PHP_SELF?".SID);
        exit;
    }
    echo("<head><title>$title</title><meta http-equiv=\"Refresh\" content=\"1;URL=$self_url\"></head><body><font face=\"$fontface\" color=\"red\"><span style=\"font-size:250%\">$title</span><br><span style=\"font-size:150%\">Acces Refusé</span></font></body></html>");
    unset($HTTP_SESSION_VARS);
    session_destroy();
    exit;
} else {
    $res = mysql_query("select id, passwd, ac from user where email='$sess_name'");
    if (mysql_num_rows($res) != 0) {
        $saved_passwd = mysql_result($res, 0, "passwd");
        $saved_ac = mysql_result($res, 0, "ac");
        if ($saved_passwd != $sess_passwd || $saved_ac != 0) {
            echo("<head><title>$title</title><meta http-equiv=\"Refresh\" content=\"1;URL=$self_url\"></head><body><font face=\"$fontface\" color=\"red\"><span style=\"font-size:250%\">$title</span><br><span style=\"font-size:150%\">Acces Refusé</span></font></body></html>");
            unset($HTTP_SESSION_VARS);
            session_destroy();
            exit;
        }
    } else {
        echo("<head><title>$title</title><meta http-equiv=\"Refresh\" content=\"1;URL=$self_url\"></head><body><font face=\"$fontface\" color=\"red\"><span style=\"font-size:250%\">$title</span><br><span style=\"font-size:150%\">Acces Refusé</span></font></body></html>");
        unset($HTTP_SESSION_VARS);
        session_destroy();
        exit;
    }
}
mysql_query("select id, passwd, ac from user where email='$sess_name'");
?>
<table border="0" width="436" height="411" style="border: 1px solid #E5E3FF;" cellpadding="0" cellspacing="0">
 <tr>
  <td colspan="2" width="436">
   <table width="436" border="0" cellpadding="0" cellspacing="0">
    <tr height="27">
     <td width="127" align="left" bgcolor="#D0D0FD">
      <a href="http://www.allopass.com/?REDIRECT=presentation.php4&ADV=10502622" target="_blank"><img src="http://www.allopass.com/imgweb/common/access/logo.gif" width="127" height="27" border="0" alt="Allopass"></a>
     </td>
         <td width="309" align="right" bgcolor="#D0D0FD">
      <font style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 10px; color: #000084; font-style : none; font-weight: bold; text-decoration: none;">
       Solution de micro paiement sécurisé<br>Secure electronic payment
      </font>
     </td>
    </tr>
    <tr height="30">
     <td colspan="2" width="436" align="center" valign="middle" bgcolor="#F1F0FF">
      <font style="font-family: Arial, Helvetica, sans-serif; font-size: 9px; color: #000084; font-style : none; font-weight: bold; text-decoration: none;">
       Pour acheter ce contenu, insérez le code obtenu en cliquant sur le drapeau de votre pays
      </font>
      <br>
      <font style="font-family: Arial, Helvetica, sans-serif; font-size: 9px; color: #5E5E90; font-style : none; font-weight: bold; text-decoration: none;">
       To buy this content, insert your access code obtained by clicking on your country flag
      </font>
     </td>
    </tr>
        <tr height="2"><td colspan="2" width="436" bgcolor="#E5E3FF"></td></tr>
   </table>
  </td>
 </tr>
 <tr height="347">
  <td width="284">
   <iframe name="APsleft" width="284" height="347" frameborder="0" marginheight="0" marginwidth="0" scrolling="no" src="http://www.allopass.com/access/left.php4?LG=fr_uk&SITE_ID=151216&DOC_ID=415036&ADV=10502622"></iframe>
  </td>
  <td width="152">
   <iframe name="APsright" width="152" height="347" frameborder="0" marginheight="0" marginwidth="0" scrolling="no" src="http://www.allopass.com/access/right.php4?LG=fr_uk&SITE_ID=151216&DOC_ID=415036&ADV=10502622"></iframe>
  </td>
 </tr>
 <tr height="5"><td colspan="2" bgcolor="#D0D0FD" width="436"></td></tr>
</table>
<?php
mysql_close;
?>

[jean-michel-78]

moi j'utilise tout simplement un cookie
que je positionne avec un script
voir PJ

et que je teste dans le script réservé
extract($_COOKIE);
if ( $mon_cookie ) != "mot_à_moi" ) exit ;