Bonjour,
Dans bcp de tutoriels concernant la gestion des utilisateurs, je ne comprends pas le test pour vérifier si c'est un utilisateur connecté ou quelqu'un d'autre. A chaque fois, ça ressemble à :
1 2 3 4
| if (isset($_SESSION['pseudo']))
{
echo 'Bonjour ' . $_SESSION['pseudo'];
} |
Mais qu'est ce qui dit qu'un pirate n'a pas créé une session avec un outil genre Firebug avec ce nom là pour se substituer à un autre utilisateur ? Est ce qu'il ne faut pas en plus mettre le mot de passe hashé dans la session et ajouter lors du test :
AND ($_SESSION['mdp']==$mdp_hashe_stockee_dans_bdd)
Merci par avance !
Partager