Interdire l'acces a une page en dehors de l'utilisation du form Authentification/Redirection

Bonjour,

J'ai eu beau chercher sur le forum, je n'ai pas trouvé de réponse a mon pb.

J'utilise un script php qui me permet de renvoyer un utilisateur sur sa page privée apres s'etre authentifier via un formulaire.
Mon souci est que cette page peut tres bien être lancer directement si on connait son URL.
J'ai essayé de mettre un .htaccess dans le répertoire des pages, mais du coup apres l'authentification, l'utilisateur ne peut accéder a la page...

Comment puis je faire pour que cette page privée ne soit accessible uniquement que apres l'authentification/redirection?

Merci pour votre aide! :)

Bonjour,

Tout tes scripts PHP seront toujours accessible si on connait l'URL ^^.

Pourquoi ne pas déjà mettre en place des sécurité sur ta page, vérification de l'envoie des variables en POST, et tout simplement si l'authentification se fait pas, la page renvoie une erreur ou une 404 ?

Hello

Toutes tes pages privées/personnelles devraient être équipées du snippet suivant:

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12

<?php require "auth.php"; // implémente les fonctions "is_logged" et "validate_rights"   // si l'utilisateur n'est pas loggué ou s'il ne dois pas avoir accès à ce script if (!is_logged() || !validate_rights(__FILE__)) { header("HTTP/1.1 403 Forbidden"); // header "interdit" header("Refresh:5;url=login.php"); // redirection vers "login.php" dans 5 secondes include "forbidden.html"; // affichage de la vue "intedit, vous allez être redirigé bla bla bla..." die(); }   // suite du script ...

---

Bonjour,

Merci pour vos réponses.

Je comprends que je dois effectivement sécuriser mes pages.

J'ai en fait 2 soucis:
1) Comment faire pour implémenter mes 2 variables "is_logged" et "validate_rights" dans ma page d'authentification: login.php dont voici le code:

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80

<?php require_once("protec/passe/conf.php"); Error_Reporting(1); @set_magic_quotes_runtime(0);     $db_link=connect_db();     //$pseudo = Get_GPC_addslashes($_POST['pseudo']); //$passe = Get_GPC_addslashes($_POST['passe']); if(eregi("#", $_POST['pseudo']) || eregi("#", $_POST['passe'])){ echo "<br><br><br><center>Les caractères spéciaux ne sont pas authorisés. Merci<br><br><a href=\"javascript:history.back(1)\">Retour</a>";exit; }     $query_requete = "select * from membre where pseudo=\"".Get_GPC_addslashes($_POST[pseudo])."\" and passe=\"".Get_GPC_addslashes($_POST[passe])."\""; $requete = mysql_query($query_requete, $db_link) or die(mysql_error()."probleme"); $row = mysql_fetch_assoc($requete); $totalRows = mysql_num_rows($requete);     if(mysql_num_rows($requete)==0) {   header("Location:$url_erreur");exit; } else {   // test si compte actif if($row["actif"]!=1){ echo "<center><br><br>STOP ! votre compte a besoin d'être validé avant que vous puissiez accéder à votre espace membre<br><br><a href=\"javascript:history.back(1)\">Retour</a></center>";exit; }     if(isset($_POST["modif_infos"]) && $_POST["modif_infos"]=="1"){ $destination="protec/modif_infos_util.php"; }else{ $destination=$row[destination]; }   $taille = 40; $lettres = "abcdefghijklmnopqrstuvwxyz0123456789"; srand((double)microtime()*1000000); for ($i=0;$i<$taille;$i++) { $lid.=substr($lettres,(rand()%(strlen($lettres))),1); }   $requete=mysql_db_query($sql_bdd,"update membre set id=\"$lid\", heure_session= NOW() where pseudo=\"".Get_GPC_addslashes($_POST[pseudo])."\" and passe=\"".Get_GPC_addslashes($_POST[passe])."\"",$db_link); $expirer = 24*3600; setcookie( "monpseudo", $_POST['pseudo'], time() + $expirer, "/" ); setcookie( "monpays", $row['pays'] , time() + $expirer, "/" ); setcookie( "monemail", $row['email'] , time() + $expirer, "/" );   // SESSIONS   if($row["droits"]==1 || $_POST["modif_infos"]==1) { if($active_session=="1") { session_start(); $_SESSION["id"] = $lid; header("Location: $destination"); } else { header("Location: $destination?id=$lid"); } } else { if($active_session=="1") { session_start(); $_SESSION["id"] = $lid; header("Location: $repertoire_protege/$destination"); } else { header("Location: $repertoire_protege/$destination?id=$lid"); } } }   close(); ?>

---

2) Dans la page privée/personnelle j'ai rajouté le code suivant:

Code:

---

1 2 3 4 5 6 7 8 9 10

<?php require "auth.php"; // implémente les fonctions "is_logged" et "validate_rights"   // si l'utilisateur n'est pas loggué ou s'il ne dois pas avoir accès à ce script if (!is_logged() || !validate_rights(__FILE__)) { header("HTTP/1.1 403 Forbidden"); // header "interdit" header("Refresh:5;url=login.php"); // redirection vers "login.php" dans 5 secondes include "forbidden.html"; // affichage de la vue "intedit, vous allez être redirigé bla bla bla..." die(); }

---

Que dois je mettre en place de (__FILE__) dans le code ci-dessus?

Merci encore pour votre aide! :)

__FILE__ est une constante magique

Bonjour,

merci pour l'info, et je comprend a présent ce que signifie "__FILE__ ".

J'ai juste besoin que vous m'aidiez a implémenter correctement mes 2 fonction "is_logged" et "validate_rights" dans ma page d'authentification: login.php.

Merci encore pour votre aide! :-)

le rôle de is_logged est de renvoyer true si l'utilisateur est connecté, false sinon.
le rôle de validate_rights est de déterminer si l'utilisateur connecté à le droit d'utiliser la ressource passée en paramètres (en l’occurrence, notre script). Si tu n'as pas de gestion de droits par ressource, tu peux supprimer cet appel.