Reprise du message précédent :

alors, personne n'a trouvé un défaut de sécurité dans cette façon de faire !?!
 
sinon, je vais essayer de faire avec la méthode de gc_probability

 
Il me semble (a verifier) que le HTTP_REFERER est nul si tu passe directement sur un des fichiers de ton site.
 
 Faut garder ce topic en vie j'ai le meme pb que toi  

ben, en fait, pour tester, j'ai tapé directement l'adresse :
***/recherche_multicritere.php?PHPSESSID=d91f1618e5597a2e26934d9b9b02419a et dans ce cas-là, $HTTP_REFERER est nulle !
sinon, en passant par les liens, elle a bien comme valeur la page précédente !

En cas de liens ouvrant une nouvelle fenêtre, il me semble que le $HTTP_REFERER est nul également.
Autre chôse, si les variables globales ne sont pas initialisé, $HTTP_REFERER est toujours vide.

 
Ca c'est un faux probleme puisque quand register_globals est a off tu y accedes via le tableau associé ($_ENV ou $_SERVER)

1. je n'ouvre pas de nouvelles pages (tout dans la meme fenetre de navigation)  
2. je comprends pas bien ton histoire de variables globales

C'est quoi précisément ton problème en fait ?

 
Ben il dit que si un utilisateur arrive sur ton site sans passer par ton index.xxx ben il se tape un referer nul qui met un peu la zone. Mais moi je trouve que pour ton genre de site (il me semble hein), un utilisateur qui ne passe pas par l'accueil est un vilain. Donc le referer est un bon choix (si on trouve pas de problemes qu'on aurait pas prevus)

En fait, je lui demandais son problème à lui (il est intéressé par ce topic pour cette raison ) !
 
Sinon, oui, c'est bien dans mon cas, car comme tu l'as compris, chaque utilisateur est obligé de passer par la page d'accueil (pour que je puisse lire dans sa base de registre quels sont ses habilitations) !

 
qu est ce que tu lis dans sa BDR ?

Et bien en fait, chaque utilisateur se connecte à son poste avec une carte à puce qui inscrit son login (numérique) dans une clé de la bdr. Je lis donc cette clé et je compare avec les logins inscrits dans la table agents.

 
Ok c'est noté
 
en fait j'avais eu peur pasque la semaine derniere, un forumeur voulait lire un login NT dans la BDR. Donc au cas où, je demande.

et je le fais pas avec des outils web en +
(spa possible )

 
Tu veux dire spa possible de faire ta liaison entre lecteur de carte/site ?

et bien oui, je ne peux pas lire la bdr du client à partir d'un script serveur !

Bon, pour faire encore plus propre, je suis en train de chercher du coté de l'évenement unUnload.
 
C'est-à-dire que je fais comme ça :

 
et 'script.php' contient le code qui détruit la session.
 
Mais, je voudrais savoir si c'est possible de savoir si c'est une fermeture du navigateur ou un changement de page

J'avais cherché qqchose permettant de détecter la fermeture du navigateur. G rien trouvé.
Du coup j'ai un bouton de déconnexion dans la web-app.

ben, c'est ce que je vais me résoudre à faire, mais je voudrais bien que ça se fasse automatiquement

 
Ben, continues à chercher, mais j'te paris que tu trouveras pas.

Je cherche, je cherche ...
 
Si je trouve je vous tiens au courant et vous me payez une bouteille : ok ?
 
 

ça roule. T'as 10 jours. Après c toi qui la paye !

J'ai trouvé (de mon coté) une solution :
 
dans le php.ini :
 

 
 
 
Comme ça je quitte mon nav : la session est detruite
Sinon ça reste ouvert

 
il me semble que nero27 avait deja parlé du probabilty 100

 
le problème, c'est que je n'utilise pas les cookies

Aïe, vu comme ça, c'est moins drôle  
 
 

 
Rafraichi moi la memoire (masure est un flemard ?), apres avoir mis en place la verif avec le referer, il reste quoi comme pb a resoudre ?

Et bien en fait, je voudrais réussir à détruire la session complètement !
La méthode du referer fonctionne, mais je la trouve moins sûre !

c'est tres tres con ça

j'ai trouvé : à moi la bouteille
 
voilà ce que ça donne :

 
et voici 'script.php'

Traduit moi ca avec des phrases je connais rien en JS

OK, je vais éditer et commenter

Merci bcp, je comprend pas toutes les subtilités mais au moins je sais que ça peut se faire et si j'en ai besoin, je sais où trouver.

Normalement onunload ne fonctionne pas lorsqu'on ferme le navigateur...

 
je confirme. J'avais essayé avec IE6 en tout cas.

et bien ça fonctionne très bien ici avec IE 5.5 sous win98 !

et avec onbeforeunload ?

Rectification c'est avec Mozilla que ça ne marche pas et c'est tout à fait normal : http://forum.hardware.fr/forum2.ph [...] 62#t161812
 
Edit: finalement le problème n'est pas nouveau

bah, pour moi, c'est résolu, je n'utilise qu'IE !

et c'est reparti pour 300pages de trolls