Discussion :

[Giantrick]

Bonjour,

Je suis actuellement en train de migrer un site qui était sous session global (avec le register_global=on) vers un type de session avec cookie ("session.use_cookies").

J'ai complètement, et avec succès, généré ma session avec cookies.

Par contre, je voudrais être sur de la démarche pour protéger toutes mes pages sur l'intégralité de mon site.

Avant (avec l'ancien mode de session global) je faisais un test sur chaque page comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?
//******* fonction check_valid_user pour vérifier si une session est ouverte function check_valid_user_page()
// voir si qqun est déjà enregistré et les prévenir (et rediriger) si ce n'est pas le cas
{
  global $username;
  if (session_is_registered("username"))
  {        
  }
  else
  {
     print ("<a href='index.php' target=_top>Retour à la page d'identification</a></font></td></tr></table>");
  exit;}
}
?>

Dois-je toujours en faire un avec les cookies ?

Comment puis-je être certains que personne ne pourra afficher un page au hasard de mon site sans s'être logé avec un identifiant et un mot de passe ?

Merci de vos réponses.

[Giantrick]

Bon, merci aux lecteurs,

J'ai trouvé ma réponse (enfin celle que je vais adopté après avoir lu, testé et réussi) les exemples et conseils du tutorial suivant :

http://php.developpez.com/cours/sessions/?page=manip

Merci à l'auteur...

J'ai donc tout de même créer un petit script d'en-tête que voici et que j'appelle sur le haut de chaque page et cela fonctionne super.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<?
 //toutes les fonctions utilisables pour toutes les pages
//*********************************************************************************
//******* fonction check_valid_user pour vérifier si une session est ouverte ******
//*******             FONCTION A RAPELER SUR CHAQUE PAGES DU SITE            ******
//*********************************************************************************
function check_valid_user_page()
// voir si qqun est déjà enregistré et les prévenir (et rediriger) si ce n'est pas le cas
{
	if(isset($_SESSION['username']))
		{
		//rien à faire, la page s'affiche
		}	
  else
  {
  if(isset($_COOKIE[session_name()]))
	{
	 setcookie(session_name(), '',time()-3600); // cela détruit le cookie de session (j'ai appliqué bêtement l'instruction d'un bouquin
	 session_destroy(); // cela détuit la session
	}  
     print ("
     <a href='./index.php' target=_top>Retour à la page d'identification</a>");
  exit;}
}
?>

Voilà pour ceux qui veulent me faire des commentaires, ou bien des critiques de sécurité que je n'aurais pas vu (je ne connais pas tout), je laisse le sujet encore quelques jours avant de le passer en Résolu

(je le fais volontairement car je pense que je ne suis pas le seul (novice) a expérimenter ces petits soucis)

Merci à tous