Discussion :

[Kenshin86]

Bonjour

J'aimerais savoir comment sécuriser mes pages , je m'expliques.

C'est pour une petite application ou il se fait avant une authentification (en utilisant des sessions)

j'ai rajouté un champ à la table utilisateur "code" ou est attribué un code unique à tous les utilisateurs comme ça celui qui veut rentrer sur la page devrait avoir ce code.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php 
if (isset($_SESSION['nom']) AND isset($_SESSION['prenom']) AND isset($_SESSION['code_securite']))
{
	include('ouverture_bd.php');
	$sql = "SELECT code_securite_admin FROM administrateur GROUP BY code_securite_admin;";
	$req = mysql_query($sql) or die('Erreur SQL !'.$sql.'<br>'.mysql_error()); 
	while ($row = mysql_fetch_row($req))
	{
		$code_securite=$row[0];
	}
	if($code_securite!=$_SESSION['code_securite'])
	{	
		header("location:index.php?page=authentification");
	}
	include('fermeture_bd.php');
}
else
{
	header("location:index.php?page=authentification");
}
 
?>

Voici ce qui fonctionnes , mais j'aimerais savoir si il y a quelque chose de plus simple ou alors afin d'éviter la connection à la BD pour vérification pour chaque page.

Cordialement,

[nosferapti]

le contenu de la variable de session ne peut pas être modifié par le visiteur donc il suffit que tu mettes dans la session "autorisé = oui" et à chaque début de page il suffit de vérifier cette variable de session sans avoir besoin d'accéder à la base de données

[Kenshin86]

Oui mais si par exemple , on a un test :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if(isset($_SESSION['nom']))
{
...
}

et j'arrive sur le site et je crées une page bidon contenant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
session_start();
$_SESSION['nom']="nom_bidon";

je l'exécutes et ensuite je vais sur la page de mon site alors je pourrais y accéder.