Bonjour à tous,
j'ai mis en place un petit site en place avec plusieurs pages php qui interagissent avec des bases MySQL, où il est nécessaire de se connecter via login/mdp sur le index.php pour pouvoir rentrer das le site. Cependant, j'ai un soucis un peu bête au niveau de la sécurité :
- Lorsque je renseigne le login et mdp dans index.php, ma session se crée et les variables à retenir également et me renvoie sur l'adresse http://mon_ip_/page1.php. Néanmoins, si je décide de taper directement dans le moteur de recherche l'URL de cette page type : http://mon_ip_/page1.php j'attérie sur ma page sans m'être logé et je peux faire afficher mes données. J'ai contourné la connexion.
- De plus, en quittant mon site à chaque fin d'utilisation, j'ai un bouton de déconnexion qui est censé tuer toutes les variables, et de détruire la session active, et quitte les pages internes du site. Mais si je retape http://mon_ip_/page1.php sans me reconnecter à nouveau et que je demande d'afficher la variable "mot_de_passe" (qui n'a pas été renseignée car je ne suis pas passé par index.php) le site me l'affiche alors que précédemment j'avais tué la session.
En d'autres termes, comment est il possible de bloquer l'accès à des URL si on n'est pas passé par celui du index.php ? Ou bien, s'agit il d'un soucis purement de session mysql qui est mal détruite ?
Voici mon code qui doit tuer la session à chaque session détruite en ayant crée au préalable le bouton 'Disconnexion' comme il se doit:
Merci à vous
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9 if (isset($_POST['Disconnexion'])) { unset($_SESSION['login']); unset($_SESSION['mot_de_passe']); session_destroy(); header ('location: index.php'); exit; }
Partager