Discussion :

[menoce]

bonjour,
je réalise actuellement un site d'interrogation d'une base de données mysql. La visibilité des informations étant variable selon le profil de utilisateur je procède à une identification pour initialiser des variables de session correspondant aux droits de l'utilisateur selon son login et son mot de passe.
je veux que l'utilisateur puisse "quitter" le site. J'ai donc créé un lien "quitter" qui pointe sur la page d'identification, page dont le code est sensé détruire la session :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<?php
session_start();
session_destroy();
?>

Ce qui me chagrine c'est que si après déconnexion et retour sur la page d'identification, l'utilisateur utilise la fonction back de son navigateur il se retrouve sur le site avec les mêmes droit qu'auparavant sans avoir à retaper son login et son mot de passe...

quelqu'un voit il un moyen de procéder pour pallier à cette possibilité ??

[KiLVaiDeN]

En fait en faisant back dans le navigateur, tu tombes sur les pages en cache. Donc une solution serait de faire ton controle _après_ chaque action ( par exemple dans la page qui effectue l'action de supprimer un enregistrement ) ou bien de préciser que tes pages ne doivent pas rester en cache, en utilisant les bons paramètres liés à la gestion du cache :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
// HTTP/1.1
header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control: post-check=0, pre-check=0", false);
 
// HTTP/1.0
header("Pragma: no-cache");

[menoce]

ok merci je vais essayé de paramétrer la gestion du cache alors