Session membre / admin

Version imprimable

Bonjour.

J'ai un petit problème de différenciation de connexion entre un simple utilisateur et un admin.
En effet, j'aimerai que l'utilisateur lambda, lorsque celui-ci se connecte, arrive sur sa page personnel, alors que l'admin quant à lui, lorsqu'il se connecte, arrive sur un autre page.
J'ai effectué différentes recherches sur l'inscription et la connexion d'un membre, enregistré dans une base de donnée. Mais je n'arrive pas à faire la différenciation entre un admin à qui j'ai un login spécial et un simple utilisateur. Le type de code est le suivant (il me semble l'avoir repris en partie de developpez.net) :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 <?php include("mabasededonne.php"); if (isset($_POST['connexion']) && $_POST['connexion'] == 'Connexion') { if ((isset($_POST['login']) && !empty($_POST['login'])) && (isset($_POST['pass']) && !empty($_POST['pass']))) { connexion(); $sql = 'SELECT count(*) FROM membre WHERE login="'.mysql_escape_string($_POST['login']).'" AND pass_md5="'.mysql_escape_string(md5($_POST['pass'])).'"'; $req = mysql_query($sql) or die('Erreur SQL !<br />'.$sql.'<br />'.mysql_error()); $data = mysql_fetch_array($req); mysql_free_result($req); mysql_close(); if ($data[0] == 1) { session_start(); $_SESSION['login'] = $_POST['login']; header('Location: membre.php'); exit(); } elseif ($data[0] == 0) { $erreur = 'Votre compte ou votre mot de passe est incorrect.'; } else { $erreur = 'Problème dans la base de données : plusieurs membres ont les mêmes identifiants de connexion.'; } } else { $erreur = 'Au moins un des champs est vide.'; } } ?>
J'ai essayé de rajouter la condition suivante
Code:

1 2 3 4 5 6 7 8 9 10 <?php if ($data[0] == 1) { session_start(); $_SESSION['login'] = 'admin'; header('Location: admin.php'); exit(); } ?>
Mais malheureusement il identifie l'admin comme un utilisateur normal, il ne fait pas attention à la seconde condition et prend que la première condition en compte.

Que faire, une idée ?

les clés uniques ça sert à quoi?

Code:

$erreur = 'Problème dans la base de données : plusieurs membres ont les mêmes identifiants de connexion.';

je comprends pas trop ce que tu veux faire? parce que ceci n'as aucune chance de fonctionner.
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 if ($data[0] == 1) { session_start(); $_SESSION['login'] = $_POST['login']; header('Location: membre.php'); exit(); } if ($data[0] == 1) { session_start(); $_SESSION['login'] = 'admin'; header('Location: admin.php'); exit(); }
pourquoi le session_start() n'est-il pas fait systématiquement ? ça te permettrait de "suivre" des utilisateurs non identifiés, non ?

pourquoi mysql_close(); ?

j'aime bcp l'idée de faire un location(), par contre est-ce que tu penses au cas ou l'utilisateur écrit lui même "admin.php" dans son url ?

03/07/2012, 18h24
Depsou

Oui c'est vrai que je n'avais pas remarqué la clé unique qui pour le coup est effectivement inutile.

En gros le problème semble sans doute simple pour toi, mais compliqué pour moi ^^. Ca fait pas depuis bien longtps que je me suis mis au php, il y a certaines choses que je ne maitrise pas encore très bien.
La condition que je voudrais c'est :
Si on voit que c'est un utilisateur lambda, la personne est redirigée sur membre.php, si on voit que c'est un admin avec le login "admin", la personne est redirigée sur admin.php. C'est pour ca que je fais deux Locations. Mais je n'arrive pas à identifier l'un de l'autre pour que ces conditions fonctionnent. Je ne vois pas trop comment l'écrire.

Et pour ce qui est de la "Location", j'ai fait des recherches pour modifier le nom du fichier de tel sorte à ce qu'il s'appel "admin.php" mais qu'il ait un nom de type "kjv&mlkjn=654sdf)àsdfj" dans la bar de recherche. Mais je n'ai rien trouvé de concret et de bien expliqué sur internet :(. Quelque chose qui pourrait crypter le nom en quelque sorte mais je ne sais pas si cela existe.
03/07/2012, 18h37
gene69
ce que je veux dire c'est qu'au début de admin.php, comme au début de toute tes pages, il faut executer une vérification de droits: tu peux avoir des droits qui sont liés a des actions utilisateurs, des pages (le plus simple), des groupes de page (des applications), par exemple un appel a "checkUserRigts(...);" à définir et qui vérifie que ton utilisateur a le droit d'être sur la page.

sinon, ce que tu peux faire c'est interdire d'appeler une admin directement (interdire __FILE__ == $_SERVER['SCRIPTNAME'] ) et ne proceder que par include() dans un fichier index.
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 if ( $action=="membre" ){ include 'membre.php'; } elseif( $action =="admin" ){ include 'admin.php' } elseif ($action == "planning") { .. } else { include 'welcome.php'; }
ce que je veux dire c'est que si tu fais une condition login trouvé alors membre et puis fin, tu ne peux pas continuer par loggin trouvé alors admin et puis fin.
03/07/2012, 19h27
Depsou
J'ai essayé avec un
Code:

1 2 3 4 5 if (!isset($_SESSION['xxx'])) { header ('Location: logs.php'); exit(); }
Plus aucunes possibilités d'accéder via la barre de recherche à un autre fichier de type "*.php" sans se log avant, il redirige automatiquement vers le log. La vérification de droit marche nickel. Merci =)

Il ne me manque plus que la différenciation entre un admin et un utilisateur :roll:.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
if ($data[0] == 1) /*ce test veux dire que le mot de passe est trouvé dans la base de donnée*/{
 
	session_start();
	$_SESSION['login'] = $_POST['login'];
	if ($_SESSION['login'] == 'admin') {
		header('Location: admin.php');
	}
	else {
		header('Location: membre.php');
	}
	exit();
}

c'est pas compliqué pourtant.

06/07/2012, 12h51
Depsou

Effectivement tous fonctionne très bien en localhost merci beaucoup ! =)
Par contre lorsque j'envoie le tout via FTP, et que je souhaite alors me connecter avec la session admin, j'ai une erreur de ce type :

Citation:

You don't have permission to access /admin.php on this server.

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

J'ai supprimé tous les cookies ainsi que le cache en pensant que ça pourrait venir de là etc... Mais j'ai toujours le même message. Et je n'ai pas changé les droits d'accès au fichier.