Connexion à une page protégée par mot de passe avec les sessions php.

Version imprimable

J'ai un formulaire simple pour saisir un mot de passe (juste un champs "password" et un bouton d'envoi) pour aller vers une page que nous appellerons secret.php.
Je veux utiliser les sessions pour éviter l'accès direct aux pages suivante en saisissant leur URL.
Je ne sais pas faire le test du mot de passe en utilisant les sessions dans le formulaire (ou placer la ligne <form action="secret.php" method="post">?) pour me connecter à la page secret.php s'il est bon et afficher un lien "Déconnexion" pour fermer la session.

D'avance grand merci.
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 <?php session_start(); $_SESSION['password'] = ''; ?> <!DOCTYPE html> <html> ... <p>Veuillez saisir ci-dessous votre code d'entrée :</p> <?php if ((isset($_SESSION['password'])) && (!empty($_SESSION['password']))) { // le Mot de passe a été enregistré dans la session, j'affiche la page SECRET.PHP // ???????? } else { // pas de login en session : proposer la connexion echo '<a href="connexion.php" title="Accès à la page de connexion">Connexion</a>'; } ?> <form action="secret.php" method="post"> //Lance la page MAIS dans tous les cas ! même si password n'est pas bon. <p> <input type="password" name="mot_de_passe" /> <input type="submit" value="Valider" /> </p> </form>
PS : mon code est pourri, je le sais ! :-(

Denis

La première chose à faire serait de présenter proprement ton code, tu y verrais plus clair.

Pour une seule page tu n'as pas besoin d'une session :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
if (isset($_POST['password']) && $_POST['password'] == 'tonpassword') {
   // contenu secret
}
else {
	echo '
	<p>Veuillez saisir ci-dessous votre code d\'entrée :</p>
	<form action="" method="post">
		<p>
			<input type="password" name="mot_de_passe" />
			<input type="submit" value="Valider" />
		</p>
	</form>';
}

Je crois que tu cherches à tester ta variable de session trop tôt.

Moi je ferais les choses comme ça : je créerais 3 pages,
- la première contient le formulaire pour entrer le mot de passe
- la deuxième contient le script qui vérifie les données envoyées par le formulaire
- la troisième n'est accessible que si un mot de passe a été donné, c'est la page secret.php
Rien ne t'empêche de fusionner la 1^re et la 2^e page.

Le principe de base c'est que quand le visiteur arrive sur la page secrète, tu regardes sa session ; s'il n'y a pas le mot de passe ou s'il n'est pas bon, le visiteur n'accède pas à la page.
Code:

1 2 3 4 5 6 7 <?php // secret.php session_start(); if (!isset($_SESSION['password']) || $_SESSION['password'] !== 'tonpassword') { header('Location: ailleurs'); exit; } ?>
Remplace 'ailleurs' bien sûr par l'adresse d'une page valide.

Tu mets ça au début de toutes les pages de ta partie secrète et la partie est protégée par session. Ce qui n'est pas une protection à 100% infaillible, mais je m'écarte un peu du sujet.

À présent la question qui se pose c'est : comment initialiser cette variable $_SESSION['password'] ? Ça se passe dans la page qui reçoit les données du formulaire. Occupons-nous d'abord du formulaire :
Code:

1 2 3 <form method="post" action="submit.php"> ... </form>
Et la page submit.php :
Code:

1 2 3 4 5 6 7 8 9 10 if (isset($_POST['password'])) { $_SESSION['password'] = $_POST['password']; // tu peux éventuellement rajouter : header('location: secret.php'); exit; // ou bien : echo '<a href="secret.php">Cliquez ici</a>'; }
Tu remarques que la page submit ne vérifie pas si le mot de passe est correct. Cette vérification sera faite à chaque fois que le visiteur accèdera à la page secrète, je pense que ça renforce un petit peu la sécurité.

17/11/2014, 18h10
ddubois

Merci pour vos réponses, je vais essayer de faire avec.

sabotage dit "Pour une seule page tu n'as pas besoin d'une session :" : Qui te dis que je n'ai qu'une seule page ? non j'aurais un certain nombre de pages, ce qui justifie les sessions.
17/11/2014, 19h17
sabotage

C'est toi qui le dit :

Citation:

pour aller vers une page
19/11/2014, 09h40
valaendra
Bonjour,

Pour la déconnexion, tu crées un lien style "index.php?action=deco" puis tu supprimes la variable $_SESSION['password']
Code:

1 2 if(isset($_GET['action']) && $_GET['action'] === 'deco') unset($_SESSION['password']);