[Sécurité] La méthode POST ne fonctionne plus en présence d'une session

Version imprimable

Bonjour

J'ai un problème assez précis qui bloque le déroulement de mon site (HTML + PHP, pas de javascript ou autre).

En voici la description :
Dans certains cas, les formulaires utilisés avec la méthode POST ne transmettent plus les variables.
Si j'exécute ce code à partir d'une nouvelle instance d'internet explorer, ca fonctionne comme prévu.
Par contre, si je l'ouvre comme lien depuis le reste de mon site (il s'agit de permettre à un utilisateur de changer de login), ca ne fonctionne plus.
Précision : j'utilise les sessions php.
La version de PHP est 5.1, avec les variables a OFF.

Le code de la fenêtre parente est :
Code:

1 2 3 4 5 6 7 8 9 if(isset($_GET['autre_login']) and $_GET['autre_login']=='oui') { session_unset(); session_destroy(); $_SESSION['autre_login']='oui'; include('./scripts/user_login.php'); exit(); }
Voici le code associé :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 <html> <head><title>Connexion</title></head> <body> <h3 style="margin-bottom: 0px;">Merci de vous identifier</h3> <br /><br /> <form action="./fichier.php" method=POST> <input type="hidden" name="action" value="verif"> <label>Identifiant : <input type="text" name="pseudo"></label><br> <label>Mot de passe : <input type="password" name="password"></label><br><br> <input type="submit" value="Connexion"> <br><br> </form> </center> </body> </html>
Lorsque je fais un
Code:

1 2 echo $_POST['action'] ou echo $_POST['pseudo']
le serveur indique que l'index est inconnu. Idem quand j'utilise

Code:

print_r($GLOBALS);

: le tableau $_POST est vide.

Voila, merci de m'avoir lu jusqu'au bout.
Si vous avez une idée, merci d'avance.

01/02/2006, 14h50
ogenki

j'ai pas tout compris tu dit que a un moment sa marche??

question surement de bas niveau mais

Citation:

Si j'exécute ce code à partir d'une nouvelle instance d'internet explorer, ca fonctionne comme prévu.

c'est quoi ?une nouvelle instance???
01/02/2006, 15h00
Jofire

Moi non plus j'ai pas tout compris
Sur quelle page fait tu tes echo
Et quel est ton problème ??
01/02/2006, 15h11
guidav

Une nouvelle instance, c'est quand je lance IE avec une page de démarrage "normale" (exemple, google) puis que je vais directement sur la page du formulaire (disons formulaire.php).

Les echo sont en haut de la page formulaire.php, pour afficher les variables au fur et a mesure.

Le problème, c'est que quand je vais sur cette page formulaire.php depuis la page principale de mon site, le formulaire s'affiche normalement n'envoie plus (ou ne recoit plus) les arguments en POST. Alors que si j'y vais depuis google, il envoie correctement les arguments et les affiche quand je lui demande.

Quelques précisions pour les personnes qui m'en ont demandé : Architecture du site

page_principale.php

Code:

1
2
3
 
 - include ("autorisation.php")
 - reste de la page

autorisation.php

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
 
- session_start();
	include("fonctions.php");
 
	if(isset($_GET['autre_login']) and  $_GET['autre_login']=='oui')
	{
		session_unset();
		session_destroy();
		$_SESSION['autre_login']='oui';
		include('./scripts/user_login.php');
		exit();
	}
                else include('./scripts/user_verif.php;

user_login.php

Code:

1
2
3
4
 
include("user_verif.php")
<le formulaire posté dans la question et qui contient action="user_login.php">
<une redirection si OK, avec un header(URL)>

user_verif.php

Code:

1
2
 
<Verification que l'utilisateur est bien identifié>

Voila, j'espère que ces précisions vous aideront à m'aider :D

01/02/2006, 16h25
vg33
Si tu détruis ta session, tu dois la recréer ensuite :
Code:

1 2 session_destroy(); session_start();
01/02/2006, 16h36
guidav

La session est recrée un peu plus loin (dans les include). J'avais oublié de le préciser.
01/02/2006, 16h51
vg33

Oui, mais tu utilises dans l'intervale le tableau superglobal $_SESSION. Ca doit notamment bugger ici.
01/02/2006, 17h28
guidav

Ca donne la même chose quand je retire la ligne en question.