Accès à une page avec variable de session

Version imprimable

Bonjour à tous,

Voici mon soucis : Je souhaite créer un espace administrateur sur mon site. J'ai donc créé une page (index.php) contenant un formulaire de connexion. Si les identifiants sont dans la base de données, la validation redirige vers une page appelée home.php. Jusque là tout va bien. Sauf que maintenant il faut que je sécurise l’accès à ma page home.php sinon on peut y accéder sans le connecter en tapant son url directement. Voici mon code :

Code:

1
2
3
4
5
6
7
8
9
10
 
 
<form class="connexion" action="" method="post">
        <h2>Connexion à l'espace admin</h2>
        <input type="text" name="pseudo" palceholder="Login" autocomplete="off"/>
 
        <input type="password" name="mot_de_passe" palceholder="Pass" autocomplete="off"/>
 
        <input class="boutonconnexion"type="submit" name="connexion" value="Connexion" />
    </form>

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
 
    <?php
 
    // Durée de vie de la session (Time To Live)
    $ttl = 10;
    session_set_cookie_params($ttl);
    //session.gc_maxlifetime(1800); 30 minutes
    session_start();
    if(isset($_POST['connexion'])) { 
        if(empty($_POST['pseudo'])) {
            echo "Le champ Pseudo est vide.";
        } else {
            if(empty($_POST['mot_de_passe'])) {
                echo "Le champ Mot de passe est vide.";
            } else {
                $Pseudo = htmlentities($_POST['pseudo'], ENT_QUOTES, "ISO-8859-1");
                $MotDePasse = htmlentities($_POST['mot_de_passe'], ENT_QUOTES, "ISO-8859-1");
                $mysqli = mysqli_connect("localhost", "root", "", "medrano2017");
                if(!$mysqli){
                    echo "Erreur de connexion à la base de données.";
                } else {
                    $Requete = mysqli_query($mysqli,"SELECT * FROM admin WHERE login_admin = '".$Pseudo."' AND pass_admin = '".$MotDePasse."'");
                    if(mysqli_num_rows($Requete) == 0) {
                        echo 'Le pseudo et/ou le mot de passe est incorrect';
                    } else {
                        $_SESSION['pseudo'] = $Pseudo;
                        header('Location: home.php');
                    }
                }
            }
        }
    }
    ?>

Et voici le bout de code que j'utilise pour vérifier la session :

Code:

1
2
3
4
5
6
 
<?php 
if (!$_SESSION['pseudo']) { 
header('Location: index.php');
} 
?>

Sauf que ça me redirige tout le temps vers l'index. Quand j'enlève ce bout de code, la connexion s'effectue et la redirection aussi. Je ne comprends pas...

Merci à tous pour votre aide !

28/03/2017, 14h32
Willy_k

Salut,
est-ce que tu as un session_start dans la page qui fait la vérification ?
28/03/2017, 14h36
ParisElliot

Citation:

Envoyé par Willy_k

Salut,
est-ce que tu as un session_start dans la page qui fait la vérification ?

Dans la page home.php tu veux dire ? Si oui, non je n'en ai pas.

Sinon le code de vérification du formulaire se fait dans la même page que le formulaire, c'est à dire sur index.php.
28/03/2017, 14h41
Willy_k

Je veux parler du home.php, sans session_start la globale $_SESSION n'existe pas donc normal que tu sois redirigé..
28/03/2017, 14h45
ParisElliot

Citation:

Envoyé par Willy_k

Je veux parler du home.php, sans session_start la globale $_SESSION n'existe pas donc normal que tu sois redirigé..

Ok autant pour moi....
Merci beaucoup de ton aide et désolé du dérangement !
28/03/2017, 14h51
Willy_k

Des remarques
- htmlentities ne protège pas contre les injections SQL et doit être utilisé à l'affichage, utilise mysqli_real_escape_string ou mieux les requêtes préparées
- Si tu utilises htmlentities pour tes insertions, vire les ça risque de te créer des problèmes
- Teste plutôt avec

Code:

if (empty($_SESSION['pseudo'])) {}

pour ne pas te taper les undefined index etc...