Discussion :

[djey08]

Bonjour,

Voilà je vais essayer de vous expliquer mon problème...

J'ai créé 3 pages (pour simplifier, 3 suffisent...) :
- une page de login, une page administrateur (qui s'affiche une fois loggué...) et une page de création de compte (bouton sur la page admin pour y accéder...)

Jusque là, tout va bien...

Maintenant, sur ma page de création de compte, j'ai un bouton retour qui permet de revenir a la page admin

Et c'est là le problème...

Quand je clique dessus, je n'arrive pas à revenir à la page... car mes tests sur le login et mdp se font en début de mon code admin.php

Comment faire pour revenir à ma page sans avoir besoin de refaire les tests???

(j'ai essayer avec : javascript:history.back() mais le soucis est que sa reviens juste à la page précédente, et comme dans ma page de création, je la rafraichie... ben je retombe dessus avant d'arriver à destination...)

En espérant avoir assez bien exposé mon problème (c'est pas facile tous les jours.... )

Merci d'avance...

[_Mac_]

Tu t'y prends très mal pour gérer la sécurité : si je comprends bien, on peut accéder à ta page de création de compte sans rentrer de login/mot de passe...

Pour protéger tes pages d'admin, 2 solutions :
- Utiliser la sécurité proposée par ton serveur Web. Par exemple, si c'est Apache, utiliser les Require, UserAuthFile, etc. dans un fichier .htaccess dans le répertoire où se trouve des pages d'admin. Cela implique notamment que toutes les pages de ce répertoire seront protégées par un login/mot de passe. Si tu veux récupérer l'identifiant de la personne loguée, il faut regarder du côté des variables d'environnement PHP ($_SERVER["REMOTE_USER"] ou un truc du genre).
- Utiliser les sessions. Dans ce cas, pour chaque page d'admin, il faut commencer par tester la présence d'une session et éventuellement un paramètre de session qui dit que l'utilisateur est administrateur et donc habilité à voir la page. Si aucune session n'existe ou si l'utilisateur n'est pas habilité, tu rediriges vers la page de login. Le script sur lequel tu postes le formulaire de login devra vérifier le login/mot de passe, vérifier éventuellement qu'il s'agit bien d'un compte admin, et, le cas échéant, créer une session.

Voili voulou

[buzzkaido]

Il faut que tu utilise des cookies ou des sessions.

Lorsque l'on charge la page Admin, tu fais les tests suivants :

- est-ce que le cookie/la session existe ?
- si il/elle existe, l'utilisateur est-il valide et loggué ?
- si oui, ok

- si non, tester les mots de passe fourni par la page de login
- si le login/mot de passe sont ok, ouvrir la session
- sinon refuser la connexion

EDIT : ah, grillé par Mac Guyver... flûte alors :-)

[djey08]

Si si mes pages d'admin sont protéger

tu te connecte sur la 1ère page avec login et mot de passe et aprés tu arrive sur les pages admin....

mais ce que j'aimerais, c'est quand je crée un nouveau compte (en tant qu'administrateur, sur un page créer.php par ex), c'est revenir a ma page admin en cliquant le bouton 'retour'...

[buzzkaido]

Tes pages sont protégées comment ?

Tu utilises des sessions ? des cookies ? un htaccess ?

[djey08]

J'ai mes utilisateurs stockés dans une base de données...

Je fais des tests sur la validité du login et mot de passe (crypté) et aprés suivant le type de comptes (admin, superviseur, utilisateur) j'affiche les pages qu'il doivent visualiser...

[buzzkaido]

Ben tant que tu ne stocke pas l'info "estCeQueLutilisateurEstLoggué" dans une session ou dans un cookie, tu n'as aucune chance de pouvoir ouvrir une de tes pages securisées sans avoir à entrer à nouveau ton mot de passe.

[djey08]

et comment fait-on sa???

(Je suis plus qu'un débutant en php)...

[buzzkaido]

Si tu débutes et que tu ne sais pas manipuler les sessions, je te conseille un peu de lecture...

ici :

http://php.developpez.com/cours/sessions/

et ensuite ici :

http://php.developpez.com/cours/#securite

[djey08]

Je viens de lire les cours sur les superglobales....

Je vais donc passer par sessions mais je ne vois pas comment rediriger l'utilisateur sur la bonne page en utilisant les paramètres de sessions???

Quelle est la méthode à utiliser sur mon bouton retour??

[buzzkaido]

Pour ton bouton retour, le mieux c'est que ce soit juste un lien sur la bonne page.

Si l'utilisateur ne vient pas forcement toujours de la meme page, tu peux stocker l'adresse de la page precedente dans la session pour savoir vers quelle page doit pointer le lien "retour"

Ensuite, pour ce qui est du fait de s'identifier, une fois l'utilisateur identifié, tu stocke ses parametres d'identification dans la session.

Ensuite, dans chaque page qui doit etre securisée, tu integre un code de ce genre :

- est-ce que la session existe
- si elle existe, l'utilisateur est-il identifié
- si oui, ok

- sinon, redirection vers la page d'identification

Tout ça sont des mecanismes tres classiques en PHP, en cherchant quelques tutoriels sur google ou sur developpez.com, tu trouveras tout ce qu'il te faut.