Discussion :

[Nowwis]

Bonjour à tous !

Voilà ma question :
Je suis en développement d'un site web et j'aimerais savoir la "meilleure" solution pour gérer les groupes de membres sur son site.
Donc imaginons mon site comporte des membres, des administrateur, et des modérateur...

Voilà ce que j'ai fait :
table fonction : id, libelle.
table membre : id, nom, prenom.....
table membre_appartenir_fonction : id_membre, id_fonction

Je me demande maintenant comment codifier ceci en PHP. Utiliser des SESSION pour stocker l'id de la fonction et faire des genre de :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
if($_SESSION['fonction'] = 1) 
echo administrateur

?

Mais cela me parait facilement contournable... Donc ma question repose davantage sur un point de vue sécurité.

Merci à tous ceux qui m'auront lu jusqu'au bout, et peut être répondu

[Madfrix]

Bonjour,

dans ce genre de problématique, j'ai envie de dire : pourquoi réinventer la roue ?

tu peux utiliser les composants Zend_Acl et Zend_Auth par exemple afin de mettre en place une gestion des authentifications / autorisations fiable

[Nowwis]

Bonjour !

Il est vrai que d'utiliser l'existant serait simple. Mais je n'ai pas vraiment "le temps" d'apprendre ce framework pour ce site... Il est préférable pour moi de tout coder... Car ce site sera un composant de mon BTS Informatique de Gestion... Il est alors normal de devoir le codé en entier...

Bref, donc comment m'y prendre sans utiliser d'existant ?

[rikemSen]

Je ne sais pas si c'est la meilleure des solutions mais personnellement je procède comme ceci:

Dans mon fichier header.php (qui est en fait l'entête de mes pages) je fais une vérification systématique de l'user:

Login.php -> si membre ok, $_SESSION['id_user'] = l'id_user_bdd

header.php-> switch $_SESSION['id_user'] pour faire echo de ton administrateur, modérateur, utilisateur avec un include de ce que tu veux (administrateur inclura une page != de l'utilisateur... Logique ^^)

Cette solution est largement suffisante pour le BTS. Je sais, j'ai passé le bts ig l'année dernière.

Sinon, pour ce qui est d'une vraie solution en production serait je pense d'avoir un serveur dédié et d'installer memcacheD, de stocker le type de personne dans une variable memcacheD et au lieu d'interroger la bdd, interroger le serveur memcacheD.

edit: La solution de memcacheD est à utiliser si vraiment le site à un fort traffic... Pour un site normal, ça ne sert pas à grand chose un dédié.

Voilà. Cordialement, Guillaume.

[Helfima]

utiliser une session pour stocker des choses sensibles est fait pour cela

donc oui c'est sécurisé le problème de sécurité intervient plus sur comment tu initialise la session.

[Nowwis]

Ok !

Donc si j'ai un panneau utilisateur quand on est loggé, et que je veux afficher un lien vers un repertoire, je peux donc faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?php
if ($_SESSION['fonction'] == 1)
{
?>
<a href="admin/index.php">Panneau d'admin</a>
<?php
}
?>

Bien sur, sur ma page admin/index.php je vérifie à chaque fois l'utilisateur dans la base de donnée comme le dit radicaldreamer.

C'est super alors si ça marche ça va me simplifier la vie

Merci beaucoup !