[Sécurité] bug avec les variables de session!

Bonjour, j'ai un bug vraiment bozar que j'ai réussis a cerné...mais incroyable
je vous explique
Je gere l'affichage de mes page en fonction du type d'accès du l'utilisateur qui c'est loggé de la manière suivante:

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

<?php session_start(); //Les variables de session sont enregistré après la page de login, donc si elle ne sont pas là..on redirige vers login if(isset($_SESSION["nom"])){ if(isset($_SESSION['acces'])){ if($_SESSION['acces']==1){ //Charge la partie graphique du haut user = absolu require("../Graphique/framehautAbso.txt"); } else if($_SESSION["acces"]==2){ //Charge la partie graphique du haut user = compatble require("../Graphique/framehautComptable.txt"); } else if($_SESSION["acces"]==3){ //Charge la partie graphique du haut user = Secretaire require("../Graphique/framehautSecret.txt"); } else if($_SESSION["acces"]==4){ //Charge la partie graphique du haut user = ajusteur require("../Graphique/framehaut.txt"); }     } else{ header("location:login.php?erreur=2"); } ?>

---

Il n'y a pas de probleme ca fonctionne en localhost :P

Alors ce matin, j'envoie le tout sur le serveur distant..
Je test, entre dans mes pages, tout est normal jusqu'a présent...excellent

Alors je vais dans une page où je peux modifier les info d'un utilisateur

Et là...Ben l'affichage de ma page est anormal :?: ..de ce sens:
Les menus que je fixais dans le code plus haut, n'y sont pas, alors aucune mise en page...Je ne comprend pas pourquoi...!!!! alors je fait afficher ma variable $_session['acces'] car je la soupconne

Surprise, au lieux d'etre un numéro comme d'habitude...elle à été changé pour "Accès Complet"...donc ne traite pas des conditions d'affichage

Le probleme c'est que tout fonctionne correctement en localhost..j'ai fait la meme chose et la variable vaut 1...ce qui équivaut à l'accès complet

J'assigne ces variables de session dans 1 seule page...Alors comment est-ce possible qu'elle ait la valeur "accès complet"???? :evil:

Ce qui me purge le plus c'est que tout est correct dans les autres pages!!Et en localhost pas de pb..Mais pourquoi dans cette page??

Des idées pour solutionner mon probleme??
J'utilise Apache2.0
MySql 4.1.14
PHP 4.4.0

Tu dois bien avoir quelque part les mots "accès complet", c'est sans doute à cet endroit là que ça déconne...

Post le code contenant ces mots, on verra sans doute quelque chose

voilà le code de ma page

php

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

session_start(); //Sécurité pour empecher de bypasser la page de login if(isset($_SESSION["nom"])){ if($_SESSION["acces"]==1){ //Charge la partie graphique du haut user = absolu require("../Graphique/framehautAbso.txt"); } else if($_SESSION["acces"]==2){ //Charge la partie graphique du haut user = compatble require("../Graphique/framehautComptable.txt"); } else if($_SESSION["acces"]==3){ //Charge la partie graphique du haut user = Secretaire require("../Graphique/framehautSecret.txt"); } else if($_SESSION["acces"]==4){ //Charge la partie graphique du haut user = ajusteur require("../Graphique/framehaut.txt"); }   $nomUser = $_SESSION["nom"]; $prenomUser = $_SESSION["prenom"]; $userID = $_SESSION["userID"]; $nomComplet = strtoupper($prenomUser.' '.$nomUser); //met le nom complet en majuscules   mysql_connect("localhost","*****","******"); mysql_select_db("******"); } else{ header("location:login.php?erreur=2"); }

---

javascript

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

<script language="javascript">   function VerifieChoix(choix){ if(choix=='1'){ document.frmOptionAjusteur.action="ajoutAjusteur.php"; } else if(choix=='2'){ document.frmOptionAjusteur.action="optionAjusteur.php?continu=1#position"; } }   function ModifieAjusteur(ajusteurID){ document.frmOptionAjusteur.txtModifie.value = ajusteurID; document.frmOptionAjusteur.action = "modifieAjusteur.php"; } </script>

---

affichage de la page

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120

<form name="frmOptionAjusteur" action="" method="post"> <table width="100%" align="center" border="0"> <tr valign="top"> <td align="right"> <p><b>Bienvenue, </b><? echo"$nomComplet";?></p> </td> </tr> <tr valign="top"> <td> <hr color="#002b87"> </td> </tr> <tr> <td> <br><br><center><font face="Verdana, Arial, Helvetica, sans-serif" color="#002b87"><b><u>Sélectionner un choix parmis les suivants</u></b></font></center> </td> </tr> <tr valign="top" height="25%"> <td> <table align="center" width="200"> <tr> <td align="center"> <br> <input type="submit" name="btnNouveauAjusteur" value="Ajouter un ajusteur" onClick="VerifieChoix(1);"> </td> </tr> <tr> <td> <br><br> </td> </tr> <tr> <td align="center"> <input type="submit" name="btnContinuerDossier" value="Modifier les infos d'un ajusteur" onClick="VerifieChoix(2);"> </td> </tr> </table> </td> </tr> <? if(isset($_GET["continu"])){ if($_GET["continu"]==1){ echo" <tr valign=\"top\" height=\"70%\"> <td> <a name=position></a> <input type=\"hidden\" name=\"txtModifie\"> <hr color=\"#003399\" width=\"80%\"><br> <table align=\"center\" width=\"100%\" border=\"1\"> <tr valign=\"middle\"> <td colspan=\"4\" align=\"center\"> <font face=\"Verdana, Arial, Helvetica, sans-serif\" color=\"#002b87\">Liste des ajusteurs</font> </td> </tr> <tr> <b> <td align=\"center\"> <b>Type d'accès</b> </td> <td align=\"center\"> <b>Nom Complet</b> </td> <td align=\"center\"> <b>Actif</b> </td> <td align=\"center\"> <b>Action</b> </td> </tr> "; $strScript = "SELECT ajusteurID,ajusteurPrenom,ajusteurNom,typeAcces,ajusteurActif FROM tblajusteur ORDER BY ajusteurNom"; $requete = mysql_query($strScript); $actif = "non"; $acces=""; while($result = mysql_fetch_array($requete)){ if($result['ajusteurActif']=="1"){ $actif = "Oui"; } else{ $actif = "Non"; } if($result['typeAcces']==1){ $acces = "Accès Complet"; } else if($result['typeAcces']==2){ $acces = "Accès Secrétaire"; } else if($result['typeAcces']==3){ $acces = "Accès Ajuteur"; } echo " <tr> <td align=\"center\"> $acces </td> <td align=\"center\"> ".$result['ajusteurPrenom']."&nbsp;".$result['ajusteurNom']." </td> <td align=\"center\"> $actif </td> <td align=\"center\"> <input type=\"submit\" value=\"Modifier info\" onclick=\"ModifieAjusteur(".$result['ajusteurID'].")\"> </td> </tr> "; } echo "</table> </td> </tr> "; } } ?>   </table> </form>

---

voilà

Un autre chose si je click 2 fois de suite sur le bouton modifier les info d'un ajusteur...et bien la meme chose se produit

Les version de apache,php et mysql sont les meme sur le serveur que sur mon ordi en localhost

merci bcp pour l'aide :roll:

En fait, c'est à cause de ces lignes là: $acces = "Accès Complet";
A cause des register_globales. change ça en $acces2 = "Accès Complet"; et ça devrait fonctionner.

Ok j'essaie ca, mais pourquoi est ce que le tout fonctionne en localhost???
8O

Si c'est bien ça le problème, c'est que tu n'a pas la même configuration de php. Regarde les 2 php.ini, tu trouvera des différences.

Enfin si c'est bien ça le problème :lol:

Ok merci GregPeck c'était effectivement le cas
Je ne vois tjrs pas pk en localhost ca fonctionne, est-ce que ca peut etre du au php.ini qui n'est pas configurer de la meme manière sur les 2 machines?

Meci beaucoup pour ton aide :)
bonne fin de journée

oki excellent!!! :lol: