Discussion :

[knoxville]

Bonjour à tous,
Souhaitant accroitre la sécurité de mon site j'ai une question :

J'ai fait un site internet qui est administrable par un superutilisateur, lorsque ce superutilisateur se log, il a accès aux fonctions d'administration (par exemple la page ajout-page.php).

Mon problème est que rien n'empeche un utilisateur lambda d'avoir accès à ajout-page.php en tapant directement l'url dans le navigateur.
(Je teste la session uniquement pour faire apparaitre les menus d'administration)
Comment puis-je proteger mon ajout-page.php ?

Merci d'avance à tous.

[kendyan]

Bien, c'est simple, tu controle juste si l'utilisateur est une superadmin, et tu test sir l'utilisateur est logué ou non.

Si ce n'est pas un superadmin ou c'est qqn anonyme tu redirige vers une page ou tu affiches un message comme quoi il n'a pas accès à cette page.

[knoxville]

Bien, c'est simple, tu controle juste si l'utilisateur est une superadmin, et tu test sir l'utilisateur est logué ou non.

Si ce n'est pas un superadmin ou c'est qqn anonyme tu redirige vers une page ou tu affiches un message comme quoi il n'a pas accès à cette page.

Oui je pensais faire cela mais ne puis-je pas gérer ça en 'marriant' htaccess et sessions ?

Ce n'est pas possible ?

[Sandara]

Tu peux mettre un truc de ce style en haut de ta page :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?
 
if ($_SESSION['login'] != "superadmin")
{
header('Location:connexionFaux.php');
}
 
?>

[Yogui]

N'oubliez pas d'accompagner toute redirection avec un code HTTP

Tuto : http://mathieu-lemoine.developpez.co...ponse#LIII-A-3
FAQ : Comment faire une redirection ?

Pour rappel, le .htaccess n'a pas accès aux sessions PHP. Il ne te sera pas facile de savoir avec le .htaccess si l'internaute est connecté et s'il a une sesion PHP.