vérification variable de sessions

**enterprise** · 12/06/2018, 14h45

Bonjour,

Je souhaite avoir une bar de menu différente selon le statut de mes utilisateurs.

Dans mon site j'utilise des variables de sessions. J'ai donné à ma session 'statut' la valeur que je récupère dans ma BDD.
J'utilise deux comptes, un compte appeler noob avec le statut employé et un compte appelé admin avec le statut administrateur.

Le code que j'utilise me permet d'afficher le premier menu et me modifie la valeur de la session 'statut'. Ce n'ai pas ce que je veux.

De base quand je mets un echo $_session['statut'], sans utiliser le code que j'ai posté, ça me sort le bon statut.
Si j'utilise le code que j'ai posté, avec le echo ça me sort 'administrateur' même pour noob. Et peu importe ce que je mets a la place de 'administrateur' dans la condition if($_SESSION['status'] == 'administrateur'), ça rendra toujours la valeur que je mets.
Autrement dit, cette condition modifie la valeur de ma session.

Avez-Vous une idée pour que je puisse avoir une bar de menu différente selon la valeur de la session 'statut' ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
<?php
 
if($_SESSION['status'] == 'administrateur') // si l'utilisateur a le statut administrateur
  {
    include('menu_admin.php');
 
  }
 
  else {
    include('menu_noadmin.php');
 }
 
 
?>

**Dendrite** · 12/06/2018, 14h58

La réponse paraît assez simple... tes scripts inclus modifient les valeurs de session.
Peux-tu nous les montrer ? J'imagine qu'à un endroit tu as laissé traîner une coquille du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
if($_SESSION['status'] = 'administrateur'){
}

Et bam... tous les passants deviennent administrateurs, les pleins pouvoirs au peuple...

Par ailleurs (ou pas), il faut avant chaque page ou tu manipules des variables de sessions, démarrer la session si besoin, par le code de la première ligne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
if(empty(session_id())) session_start();
if($_SESSION['status'] == 'administrateur'){
	include('menu_admin.php');
}
else {
	include('menu_noadmin.php');
}

**enterprise** · 12/06/2018, 15h34

Mes scripts ne contiennent que du code html et ne servent qu'a afficher un menu...
Par ailleurs, j'ouvre une session en debut de chaque page car je check si l'utilisateur est identifié ou non, pour lui donner accèss à la page.

ça c'est pour menu_admin.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
 
<link rel="stylesheet" href="dossiercss/style.css" type="text/css" />
<div class="header">
	<img src="images/logo.png" alt="logo" title="roucayrol" class="imageflottante" /> 
	<nav id="menu">        
 
 
	    <ul id="onglets">
	    <li class="active"><a href="index.php">Accueil</a></li>
	    <li><a href="demandes.php">Demandes</a></li>
	    <li><a href="calendriers.php">Calendriers</a></li>
	    <li><a href="Rh">Rh</a></li>
	    <li><a href="nouvelledemande.php">Nouvelle demande</a></li>
	    <li><a href="validations.php">Validations</a></li>
	    <li><a href="infosperso.php">infos perso</a></li>
	</ul>
	</nav>
	<form method="post" action="securite/deconnexion.php">
	   <input type="submit" value="Se déconnecter" />
	</form>
 
</div>

et ça c'est pour menu_noadmin.php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
 
<link rel="stylesheet" href="dossiercss/style.css" type="text/css" />
<div class="header">
	<img src="images/logo.png" alt="logo" title="roucayrol" class="imageflottante" /> 
	<nav id="menu">        
 
 
	    <ul id="onglets">
	    <li class="active"><a href="index.php">Accueil</a></li>
	    <li><a href="demandes.php">Demandes</a></li>
	    <li><a href="calendriers.php">Calendriers</a></li>
	    <li><a href="nouvelledemande.php">Nouvelle demande</a></li>
	    <li><a href="infosperso.php">infos perso</a></li>
	</ul>
	</nav>
	<form method="post" action="securite/deconnexion.php">
	   <input type="submit" value="Se déconnecter" />
	</form>
 
</div>

**enterprise** · 12/06/2018, 15h40

Pour plus de précisions, voici tout les scripts utilisés :

La page principale:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 
<?php include("securite/check_sessions_admin.php"); ?>
<!DOCTYPE html >
<html>
    <head>
        <meta charset="utf-8" />
 
        <title>Transports-Roucayrol Plateforme</title>
    </head>
 
 
<header>
 
<?php include("barmenu/check_menu.php"); ?>
 
</header>
<body>
rh
 
<?php include("esp_RH/create_user.php"); ?>
 
</body>
</html>

check_sessions_admin.php (qui fonctionne tres bien)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
<?php
session_start();
if(!empty($_SESSION['status'])) 
{
 
        if($_SESSION['status'] != 'administrateur') // si l'utilisateur a le statut administrateur
          {
            header('Location: index.php');
            exit();
 
          }
 
 
}
 
 
?>

Invité · 12/06/2018, 15h50

Bonjour,

1- Où, quand et comment est défini $_SESSION['status'] ?

2- les styles CSS sont à mettre entre balises <head>.

**enterprise** · 12/06/2018, 15h52

Pour pouvoir accéder a mon site, il faut s'identifier.
c'est à ce moment la que je récupère le statut via ma BDD.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
 
<?php
session_start();
if(isset($_POST['username']) && isset($_POST['password']))
{
    // connexion à la base de données
    $db_username = 'root';
    $db_password = '';
    $db_name     = 'test_log';
    $db_host     = 'localhost';
    $db = mysqli_connect($db_host, $db_username, $db_password,$db_name)
           or die('could not connect to database');
 
    // on applique les deux fonctions mysqli_real_escape_string et htmlspecialchars
    // pour éliminer toute attaque de type injection SQL et XSS
    $username = mysqli_real_escape_string($db,htmlspecialchars($_POST['username'])); 
    $password = mysqli_real_escape_string($db,htmlspecialchars($_POST['password']));
 
    if($username !== "" && $password !== "")
    {
        $requete = "SELECT count(*) FROM utilisateurs where 
              nom_utilisateur = '".$username."' and mot_de_passe = '".$password."' ";
        $exec_requete = mysqli_query($db,$requete);
        $reponse      = mysqli_fetch_array($exec_requete);
        $count = $reponse['count(*)'];
 
        $demande = "SELECT statut FROM utilisateurs where 
        nom_utilisateur = '".$username."' ";
        $exec_demande = mysqli_query($db,$demande);
        $reponseadmin      = mysqli_fetch_array($exec_demande);
 
        if($count!=0) // nom d'utilisateur et mot de passe correctes
        {
          $status = $reponseadmin['statut'];
          $_SESSION['status'] = $status;
           $_SESSION['username'] = $username;
           header('Location: ../index.php');
        }
        else
        {
           header('Location: login.php?erreur=1'); // utilisateur ou mot de passe incorrect
        }
    }
    else
    {
       header('Location: login.php?erreur=2'); // utilisateur ou mot de passe vide
    }
}
else
{
   header('Location: login.php');
}
mysqli_close($db); // fermer la connexion
?>

et oui j'ai pas pensé pour le CSS !!! merci

Invité · 12/06/2018, 16h03

Bon.

1- Il y a pas mal d'erreurs dans ton code, et dans le principe (PAS de mot de passe en clair en BDD !).

2- A aucun moment tu n'effaces la session en cas d'erreur.
À ajouter dans les else :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

unset($_SESSION['status']);

Idem lors de la déconnexion.

**enterprise** · 12/06/2018, 16h09

Pour les mots de passes c'est fait exprès, j'ai besoin qu'il soit en clair pour le moment, je vais changer ça une fois que tout sera ficeler.
Après pour les erreurs, je ne demande qu'a apprendre, je suis pas développeur.

En cas de déconnexion, je détruit complètement la session, mais je ne savais pas que je devais rajouter un unset dans les else!!

Merci de m'aider à rendre ça plus propre, mais pour le moment j'ai toujours mon problème... je comprends pas du tout comment faire

**bonjourajax** · 12/06/2018, 22h26

Bonjour

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
if(!empty($_SESSION['status'])) 
{
 
        if($_SESSION['status'] != 'administrateur') // si l'utilisateur a le statut administrateur
          {
            header('Location: index.php');
            exit();
 
          }
 
}

ce serait pas == administrateur?

**enterprise** · 13/06/2018, 09h11

Bonjour Bonjourajax,

je me suis trompé dans le commentaire

je veux bien checker si l'utilisateur n'a pas le statut admin ^^
Le but c'est que s'il n'est pas admin, il retourne à la page d'accueil.

**enterprise** · 13/06/2018, 09h36

Bonjour à Tous,

Tout simplement ma conditions n'était pas bonne.

voici le code fonctionnel que je cherchais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
<?php
 
  if(isset($_SESSION['status']) && $_SESSION['status'] == "administrateur")
  {
    include('menu_admin.php');
  }
  else {
    include('menu_noadmin.php');
  }
?>

**Dendrite** · 13/06/2018, 10h27

Je doute que ce soit le fond de ton problème, même si ta dernière proposition est évidemment bonne, contrairement à la précédente.
La précédente génère un message d'erreur ou d'alerte, je ne sais plus, quand $_SESSION['status'] n'est pas défini, mais il ne s'ensuit pas que quelqu'un est connecté 'admin' par défaut !
Donc je doute que ton problème soit vraiment réglé...

Je pense plutôt à ceci :

En cas de déconnexion, je détruit complètement la session,

Comment détruis-tu la session ?
Est-ce bien "complètement" ?
Si tu la détruis incomplètement, tu te logges comme administrateur, et tu le restes à ton test suivant...

Merci de m'aider à rendre ça plus propre, mais pour le moment j'ai toujours mon problème...

"Faire propre" n'est pas esthétique, c'est fonctionnel.
C'est tout simplement savoir à chaque ligne ce qu'on fait et pourquoi on le fait, donc sans bug ni effets de bord...

**enterprise** · 13/06/2018, 10h30

Pour le moment ça marche, on verra par la suite...

Pour détruire ma session, j'ai un bouton de déconnexion, et quand je clique dessus ça exécute ce code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<?php
session_start();
session_unset();
session_destroy();
header('location: ../index.php');
exit;
?>

**Dendrite** · 13/06/2018, 10h31

Pour le moment ça marche, on verra par la suite...

La voilà, la suite...
Connecte toi maintenant à nouveau comme non loggé...

Réinitialisation parfaite de session

Mets ce code au début de ta page login.php, et tu n'hériteras pas des bavures des tests des prédécesseurs. Particulièrement important si on partage un ordi ou si l'on est un développeur qui doit tester tous les types d'accès ! Ici on efface jusqu'aux cookies de session.

http://php.net/manual/fr/function.session-destroy.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
session_start();
$_SESSION = array();
if (ini_get("session.use_cookies")) {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}
session_destroy();[
session_start();

Invité · 13/06/2018, 10h33

Là, tu détruis toutes les données en session.

Pas uniquement les données de connexion.

Si tu avais d'autre données utiles, elle sont aussi effacées.

**enterprise** · 13/06/2018, 10h34

Je ne peux pas me connecté en tant que non loggé, il faut absolument être loggé pour accéder au contenu, sinon, peux importe l'URL que tu rentre, tu te retrouve sur une page ou on te demande ton ID

**enterprise** · 13/06/2018, 10h35

jreaux62,
oui c'est exactement ce que je veux. Il faut qu'il n'y ait plus rien une fois que la personne se déco

**Dendrite** · 13/06/2018, 10h38

Alors vois le code que je t'ai mis ci-dessus. j'ai édité.

**enterprise** · 13/06/2018, 10h59

je viens d'ajouter ton code, et ça fonctionne parfaitement.
Mais je ne comprends pas trop pourquoi rajouter ça...

J'ai pas encore lu le liens que tu as mis, je reviens vers toi quand c'est fait.

Merci

**Dendrite** · 13/06/2018, 11h01

Proposition logique sur chaque page où les gens doivent être connectés, garantie sans effet de bord...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
session_start();
if(! isset($_SESSION['status'])) {
  header 'location:login.php';//et sur ta page login.php, tu fais une VRAIE réinitialisation de session avant le formulaire de login, avec suppression des cookies de session
  exit();
}
 
 
//et plus loin sur ta page, du coup, ton menu (re)devient simplement
if($_SESSION['status'] == "administrateur"){
  include 'menu_admin.php';
}
else{
  include 'menu_noadmin.php';
}

vérification variable de sessions [MySQL]

PHP & Base de données

Discussions similaires

Partager

Partager