Discussion :

[arno34php]

Bonjour tout le monde.
Voilà, je m'explique, j'ai créé une page d'identification qui vérifie que le login & pass existent dans ma base de données.
Ensuite, des liens vers d'autres pages apparaissent un fois l'authentification faite. Ces liens amènent vers des pages exclusivement réservées à l'administration. C'est pourquoi j'ai inserré le code ci-dessous dans chacune de mes pages.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<?php
session_start();
 
   if(!isset($_SESSION['passe'])) {
    Header("WWW-Authenticate: Basic realm=\"mon domaine\"");
    Header("HTTP/1.0 401 Unauthorized");
    echo "acces refuse\n";
    exit;
  } else {
    echo "salut " . $login . "<br />";
  }
?>

Ce code fonctionne. Il évite qu'un petit malin tapes directement l'adresse de la page et accède à l'administration sans avoir à se logger.
Pouvez-vous me dire si cette protection est vraiment fiable ? Et comment l'améliorer ? (ne me parlez pas de .htaccess & .htpasswd, cette fonctionnalité ne m'est pas permise à priori )
Merci par avance.

[afrodje]

Quel que soit le mot de passe, l'utilisateur aura accès à la page... à moins que c'est ça que tu veux.