Accés à une page sécurisée Php - Sql

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par DecibelMan, 14 Décembre 2005.

  1. DecibelMan
    DecibelMan WRInaute discret
    Inscrit:
    10 Juillet 2005
    Messages:
    139
    J'aime reçus:
    0
    Bonjour,
    je me demande quelle est la meilleure façon de sécuriser un accès à une page de donnée visible par des internautes qui ont reçus préalablement par mail un code pour se connecter à une page qui leur donne l'accès à une édition de page qui sera enregistrée dans la base et affiché sur le site ?

    en gros je ne veux pas que ma base de donnée soit touché par erreur ou consciemment.

    Je sais c'est pas très clair !!! lol

    mais au regard de certains articles comme celui ci en autres je me demande comment faire simple car j'ai pas trop envie de crypter les passwords....

    http://www.nexen.net/interview/index.php?id=30 donc en lisant ça j'ai appris des choses et je me dis que c'est pas gagné de faire un truc sécurisé..

    ou cela
    http://www.phpteam.net/articles/progres ... -securise/
     
  2. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    12 419
    J'aime reçus:
    9
    ...

    Alors à mon avis :

    - Au moment ou l'utilisateur se connecte, tu crée une session, qui te permettra de tester qu'il a le droit d'être où il

    - Avant chaque update de ta base, tu vérifie que cet utilisateur-ci à le droit de modifier l'enregistrement dans la base (en vérifiant que la ligne qu'il met à jour correspond à sa session ).

    Le fait d'utiliser une session oblige l'utilisateur à s'identifier à chaque fois mais c'est plus "secure" je pense".

    Sinon, si tu as peur d'une mauvaise manipulation de l'utilisateur, tu peux doubler tous tes champs. Quand l'utilisateur valide, ses données sont enregistrées dans des champs spéciaux (par ex meme nom que les normaux mais préfixés par un _tmp), et toi après tu met en place une zone d'administration où tu valides leurs modifications.
     
  3. DecibelMan
    DecibelMan WRInaute discret
    Inscrit:
    10 Juillet 2005
    Messages:
    139
    J'aime reçus:
    0
    Merci.
    Le dernier est bien pensé et je crois que je vais partir dans cette direction.
    Mais en fait l'internaute devra attendre ma validation de la page du côté admin ?
    Comment font les systèmes de blog ?
     
  4. Vladkergan
    Vladkergan WRInaute discret
    Inscrit:
    16 Décembre 2004
    Messages:
    95
    J'aime reçus:
    0
    OUi...

    ...dans le cas d'une création, l'utilisateur devra attendre ta validation pour voir quelque chose, mais dans le cas d'une mise à jour, tu lui affiches les champs "_tmp" tant que tu n'as pas validé ses modifications depuis ta zone admin.