Discussion :

[bressan]

Bonjour,

Je suis en train de faire un espace "sécurisé" pour mettre à jour une base MySQL depuis une partie gestion d'un site.
Je me suis appuyé sur un script que j'ai trouvé sur internet.
J'ai donc fait deux tables, une contenant login et pwd et l'autre login et id de session.
A chaque affichage de page il y a une vérification de l'id de session et quand on clique sur le lien de déconnexion, l'id de session est effacé de la base.
Apparemment, c'est une méthode suffisemment sûr.
Mon soucis est que lorsque je me déconnecte et que je fais plusieurs fois précédent, j'ai de nouveau accès au pages "sécurisées".
Dans la mesure où je trouve ça quand même génant, je voulais demander si quelqu'un pouvait m'orienter sur une solution pour que les pages ne soient plus accessibles après déconnexion.

En espérant avoir été clair.
Merci par avance.

[|PaRa-BoL]

Pourquoi ne pas utiliser les sessions PHP, c'est bien plus léger et je pense qu'on peut leur faire confiance

[bressan]

En fait j'utilise les sessions PHP.
La méthode que j'ai pu voir consiste à stocker l'id de la session dans la base, ce qui ne te semble pas utile au vu de ta réponse. Mais en fait, le fait que je stocke ou non l'id de session ne doit pas changer grand chose.
Ce que je ne comprend pas c'est que quand je "détruit" la session, lorsque je fais précédent plusieurs fois, je peux accéder à des pages auxquelles je ne dois pas avoir accès.

[|PaRa-BoL]

L'id de la sessions est automatiquement passé en cookie par PHP lors dun 'session_start' (du moins par default) donc pas besoin de SQL.

Pour detuire une session il suffit de "session_detroy()" + "$_SESSION = array()".

Si tu as bien developpez et que tu vérifies une condition de session à chaque page il ne devrai pas y avoir de problème.

[bressan]

Je pensais que "session_detroy ()" était suffisant, mais je vais essayer de rajouter $_SESSION = array ()" et voir ce que ça donne. Et peut être me simplifier la vie en n'utilisant MySQL uniquement pour stocker login et pwd.
En tout cas merci pour le moment, et espérant que ce soit suffisant.

[|PaRa-BoL]

session_destroy() détruit toutes les données associées à la session courante. Cette fonction ne détruit pas les variables globales associées à la session, de même, elle ne détruit pas le cookie de session.

[bressan]

Voilà ce qui arrive quand on se croit trop malin !! On se renseigne pas assez et on passe à côté du plus important.
Merci.