Proteger mes page par des session!

Discussion dans 'Administration d'un site Web' créé par richyzeus, 23 Mars 2013.

  1. richyzeus
    richyzeus Nouveau WRInaute
    Inscrit:
    23 Mars 2013
    Messages:
    5
    J'aime reçus:
    0
    Je viens de créer un espace membre et j'ai pu intégrer les session pour les utilisateurs non authentifier d'accéder à mes pages privés. Le seul hic c'est que si un utilisateur est authentifié il lui est possible de modifier la valeur passée par GET dans url afin d'afficher le profil d'un autre utilisateur.

    Je précise que je me suis servit de GET afin de pouvoir personnaliser les pages propres à chaque utilisateur. Comment empêcher tout utilisateur malveillant et protéger les profils des autres utilisateurs de toute intrusions.

    EXEMPLE:
    Un utilisateur authentifier est rediriger vers une page "acces.php?id=12" (il bénéficie déjà d'une session qui lui donne accès à tout les pages protégé part session) s'il change le paramètre id dans l'url à ""acces.php?id=20" il aura accès à une page qui ne lui appartiens pas comment éviter cette situation et protéger les autres users de tout « voyeurisme » :cry: . J’avoue que je suis à mes premiers pas à PHP et SQL.

    Merci de m'aider à trouver des solutions.
     
  2. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 180
    J'aime reçus:
    1
    Il ne faut absolument pas passer des variable en GET pour commencer (sauf des trucs qui ne sont pas critiques pour la fonction voulue).
    Ensuite puisque que justement tu as les sessions activées sur le site tu peux très bien définir ta variable $_GET['id'] que tu passe en GET comme une variable de session $_SESSION['id'] qui restera donc sur le serveur et tu sera le seul a pouvoir la manipuler.

    Pour faire simple avec ton histoire de profil, tu crée entre autre, une variable du style $_SESSION['Pofil_Id'] au moment du login et sur ta page "acces.php" au lien de lire la variable en GET tu prend celle de session que tu est le seul a avoir initialisé.
     
  3. richyzeus
    richyzeus Nouveau WRInaute
    Inscrit:
    23 Mars 2013
    Messages:
    5
    J'aime reçus:
    0
    merci pour tout ca mais serai t'il possible de me donner un apercu par un script g pense que'un explement sera la bien venu!

    pour ma part voila comment g protege mes pages acces.php?id=xx

    <?php
    session_start();
    if ((!isset($_SESSION['login'])) || (empty($_SESSION['login']))){
    session_destroy();
    header('Location: connexion.php');
    exit();
    }
    ?>

    serai l'i possible que je procede autrement pour que cette session login ne soit valable que pour la page ou il l'id est en rapport avec le login en quection. j'y reflechie depuis plusieurs jours et ca commence par me choffer la tete car j'ai fait plusieurs tours sans avoir de solution.

    dois-je faire:

    <?php
    session_start();
    if ((!isset($_SESSION['id'])) && ($_SESSION['id] != $_GET['id'])){
    session_destroy();
    header('Location: connexion.php');
    exit();
    }
    ?>

    c'est suffisant et coherant? $_GET sera t'il pris en charge en tout debut de page? par l'appel acces.phpid=xx
    je crois que c'est un peu plus facile que ca vue que je donne deja la valeurs ç alouer à ma session. :cry: :?: :(
     
  4. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 180
    J'aime reçus:
    1
    Il faudrait que tu montre le code ou tu défini ta variable "id" afin d'y insérer l’assignation et le code ou tu l'utilise pour te montrer comment changer ça.
    Ça doit être deux scripts différents je pense.
     
  5. richyzeus
    richyzeus Nouveau WRInaute
    Inscrit:
    23 Mars 2013
    Messages:
    5
    J'aime reçus:
    0
    tout va bien j'ai trouver la soulution,

    il me suffit d'utiliser la valeur de $_SESSION['login'] et l'associer à une variable afin de sortir tout les infor du membre dont je veux afficher la page. j'ai fai un echo de la variable session qui apparrer mais lorsque que je fait un print de ma requete j'ai pas le resultat du tableau je ne sais pas i il ya un probleme voici mon code de traiement en acceres pour avoirs les information de l'itilisateur en question

    <?php
    $login= $_SESSION['login'];
    echo $login;
    include "connectbd.inc.php"; // paramettres de connection à ma base de donné et de selection de tables
    $sql= "SELECT *
    FROM transfert
    WHERE numcpte_tut = ".$numcpte_tut ;
    $requete = mysql_query( $sql ) ;
    $resultat = mysql_fetch_assoc($requete);
    print_r ($resultat);
    ?>

    porquoi j'ai pas de retour au niveau des info sur print_r
     
  6. richyzeus
    richyzeus Nouveau WRInaute
    Inscrit:
    23 Mars 2013
    Messages:
    5
    J'aime reçus:
    0
    tout va bien j'ai trouver la soulution,

    il me suffit d'utiliser la valeur de $_SESSION['login'] et l'associer à une variable afin de sortir tout les infor du membre dont je veux afficher la page. j'ai fai un echo de la variable session qui apparrer mais lorsque que je fait un print de ma requete j'ai pas le resultat du tableau je ne sais pas i il ya un probleme voici mon code de traiement en acceres pour avoirs les information de l'itilisateur en question

    <?php
    $login= $_SESSION['login'];
    echo $login;
    include "connectbd.inc.php"; // paramettres de connection à ma base de donné et de selection de tables
    $sql= "SELECT *
    FROM users
    WHERE login = ".$login ;
    $requete = mysql_query( $sql ) ;
    $resultat = mysql_fetch_assoc($requete);
    print_r ($resultat);
    ?>

    porquoi j'ai pas de retour au niveau des info sur print_r
    sorry j'ai manqué quelque modif


     
  7. richyzeus
    richyzeus Nouveau WRInaute
    Inscrit:
    23 Mars 2013
    Messages:
    5
    J'aime reçus:
    0
    j'ai zappé le id pour prendre la la variable de ma session login pour traiter ma requete afin d'avoir les information sur le membre qui se connecte.

     
Chargement...
Similar Threads - Proteger session Forum Date
L'antivirus est-il utile pour protéger les données professionnelles? Le café de WebRankInfo 17 Septembre 2020
Protéger mes fichiers d'un lien extérieur URL Rewriting et .htaccess 18 Avril 2016
Protéger un application web (site local) Droit du web (juridique, fiscalité...) 17 Juin 2014
Protéger mon ndd antérieur à une marque qui m'a contacté Droit du web (juridique, fiscalité...) 7 Avril 2014
Comment protéger son site contre les jQuery externes ? Droit du web (juridique, fiscalité...) 19 Octobre 2013
Peut-on protéger son site avec un copyright / huissier ? Droit du web (juridique, fiscalité...) 2 Mai 2013
Comment protéger son site pour pas être recopié ? Développement d'un site Web ou d'une appli mobile 25 Mars 2013
Comment protéger son ebook qui est placé dans le serveur contre les moteurs de recherche Demandes d'avis et de conseils sur vos sites 19 Décembre 2012
Generateur de .htaccess dans le dossier à protéger Développement d'un site Web ou d'une appli mobile 29 Novembre 2012
comment protéger ses vidéos? YouTube, Google Images et Google Maps 8 Juin 2012