Discussion :

[krapoulos]

Bonjour,

Je viens vers vous pour un probleme de securité sur les sessions.

dans le cadre d'un site avec une page sous session avec derriere un taitement (ecriture ds un fichier, ecriture dans la base sql et differents traitements sans envoyé des infos ds l'explorer) sous la forme d'inculde.

si le traitement prend du temps est ce k1 personne peut interrompre le traitement et bidouiller les sessions (exemple en faisant un retour page precedente etc...

bref....

ma question est sur un fichier x.php avec un include (ouverture session-ouverture base sql-ecriture dans base sql-fermeture base sql-redirection vers une autre page tjours avec une sesion- si le type fait retour page precedente donc vers la page x.php aura t il acces a l'include.

si oui comment securise le script pour ne pas faire de retour.

merci pour vos reponses

[Mr N.]

J'ai pas tout compris, mais tu peux mettre un flag dans ta session avant de faire ta redirection

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION['deja_passe_par_la'] = true;

et juste après avoir ouvert ta session (donc juste avant de toucher à la base tu regarde si le flag est présent... ce qui donne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
session_start();
if (isset($_SESSION['deja_passe_par_la']) && $_SESSION['deja_passe_par_la']) {
   //do some interesting thing
   $_SESSION['deja_passe_par_la'] = true;
}
redirect()

[krapoulos]

merci c cela que je voulais.


juste une chose dans ton script pour la redirection vers une page test.php
comment faire avec la fonction redirect().

merci

[Mr N.]

redirect() est juste du pseudo code
fais un bon vieux header()...

[krapoulos]

pour donner une valeur a la session - est ce que ma syntaxe est bonne ?

$_SESSION['nom_de_la_session']=54321;


que veut dire les 2 & dans if (isset($_SESSION['deja_passe_par_la']) && $_SESSION['deja_passe_par_la'])


merci
et encore désolé pour mes questions debiles

[Mr N.]

La syntaxe est bonne mais pas le reste...
Tu ne donne pas une valeur à ta session mais à une variable de session !

Pour le nom de la session => session_name

pour les deux &&
http://us2.php.net/manual/fr/language.operators.logical.php

[krapoulos]

merci

[/code]

[sekaijin]

perso je travaille avec un seul fichier php executable
(les autre contiennent des classe ou de fonctions)

le fichier en question à le fonctionnement suivant

récupération de l'action à effectuer dans une variable de Session ou _GET _POST ($action.)

en fonction de l'action il charge le fichier approprié et exécute la methode ou la fonction demandée.

il fixe l'action suivante et fait un redirect sur lui-même

un reload ou un back appelle obligatoirement le fichier en question.

l'action est récupéré dans la session c'est donc obligatoirement la dernière fixée on exécute donc l'action suivante comme l'aurait fait le redirect

le reload et le back sont ainsi neutralisé.

A+JYT