Forum Clubic

(Resolu)Php session cookies et securité

bonjour
je souhaiterais l’avis de pros sur la securité d’un systeme

alors le principe
la partie administration fonctionne avec des sessions
une fois logué mon url ressemble a ça index.php?page=mapage&para1=1&para2=2
de la je suis sur ma page avec editer le haut, le milieu, le bas etc
je poursuis je lance editer page et la je me retrouve dans ma page editer avec tinyMCE

et la probleme comme je ne veux pas me lancer dans le refonte de tinyMCE j’ai besoin d’appelé une page situé dans un sous dossier mais en appel direct
reprobleme comme l’appel est direct si on connait le chemin ben ont a acces a tout (c’est pas une partie critique du site mais il faut quand meme la protégé)

donc j’ai pensé a un systeme de cookie qui va etre créer lorsque je clic sur editer page a ce moment la je me retrouve sur la page avec tinyMCE et je peu appelé mon fichier a chemin direct si le cookie n’existe pas j’ai pas acces a ce fichier (meme loguer c’est paradoxal je sais )

en gros pour pouvoir acceder a ce fichier je dois etre loguer en admin et en plus cliquer sur editer sinon le cookie est pas creer et ça fonctionne pas(enfin c’est ce que j’ai l’impression je fais des tests en local avec easy php j’ai pas encore tester en ligne)

j’ai essayé avec valeur de cookie = 1 et session_id() mais je ne sais pas si ça changerait grand chose(?)(peu etre pire puisque ça pourrait donné un indice sur la valeur a donné)
voila merci
Edité le 06/02/2008 à 09:37

if (isset($_SESSION[‘admin’]) && je sais pas quoi d’autre)
{

// affiche le contenu du fichier

}

else
{
?> Vas mourrir cheatorz !

<?php } ?>

Pas trop bien capté ta question en fait, mettre un index.html dans ton dossier est pas suffisant pour protéger le browse ? Pour le reste faut réutiliser les systèmes d’identification de tinyMCE (je sais pas ce que c’est ce truc néanmoins).

cookie == pas sécurisé néanmoins :smiley:

bien en fait avec le cookie j’obtiens exactement le meme resultat est “fonctionne” sur le meme principe

j’ai essayé avec les sessions mais j’arrive pas a le faire fonctionner peu etre parce que je suis de 2 sous-dossiers

sinon dans mon principe
pour que la page devienne accessible il faut deja etre loguer en admin et meme deja loguer si j’ajoute pas la condition editer page le cookies n’est pas creer et il est bien sur detruit a la deconnexion

sauf qu’un cookie ca peut se créer facilement :stuck_out_tongue:

Les sessions n’ont pas grand chose à voir avec les dossiers, c’est jamais que des variables qui sont “globale” si je puis le dire ainsi. Par conséquent quelle que soit la page, si tu fais un session_start tes variables de session sont accessibles.

Enfin si je me trompe pas ^^ chez moi ca marche ainsi en tout cas, j’ignore si c’est propre en revanche.

yattaa
j’ai reussi :smiley: je me suis concentré sur les pseud pass c’est pour ça que ça ne fonctionnait pas alors qu’il falait verifier les autorisations (multi editeur)
merci
Edité le 06/02/2008 à 09:37