Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2383 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Include d'un menu selon la session ou on se trouve, sécurité ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Include d'un menu selon la session ou on se trouve, sécurité ?

n°1936242
johnson950
Posté le 29-10-2009 à 15:33:50  profilanswer
 

Bonjour,
 
Petite questions de sécurité :
 
Je dispose d'un site avec authentification (deux types d'utilisateurs différents).
Ainsi selon le type d'utilisateur connecté, je veux lui afficher un menu spécifique.
 
pour cela lorsqu'il se connecte, je lui ouvre une session et lui attribut ses droits (par exemple $_SESSION['droit_util'] = admin ou util...)
Ensuite lorsque j'ouvre la page je fais récupéré la valeur de session et je compare :
 

Code :
  1. switch($_SESSION['droit_util'])
  2. case "admin": include("menu_admin.php" );
  3. break;
  4. case "util": include("menu_util.php" );
  5. break


 
Mes questions :
1 - Faire des "include" avec des variables de sessions est il sécurisé ? si ce n'est pas sécurisé que me proposez vous ?
2 - D'un point de vue sécurité, les variables de session sont ils bien protégés ?
 
Merci pour vos réponses
 
Maxime
 
 
 

mood
Publicité
Posté le 29-10-2009 à 15:33:50  profilanswer
 

n°1936256
flo850
moi je
Posté le 29-10-2009 à 16:10:03  profilanswer
 

1- oui , du momenque tu controles bien le contenu de $_SESSION['droit_util'] ( tu sais ou et par quoi c'est modifié)
2-oui . la faille est plutôt au moment ou tu change la valeur de ses variable. Si l'utilisateur peut agir sur les scripts qui mettent a jour les variables de session, tu as un risque.


Message édité par flo850 le 29-10-2009 à 16:10:52

---------------

n°1936262
johnson950
Posté le 29-10-2009 à 16:31:04  profilanswer
 

Merci pour votre réponse.
 
Comment un utilisateur peut il agir sur les scripts ?
 
J'essaye de me documenter un maximum sur les failles des sites internet, auriez vous des sites ou des explications ou tout autres choses pouvant me servir pour protéger un site Internet ?
 
Merci

n°1936282
NewsletTux
<Insérez ici votre vie />
Posté le 29-10-2009 à 17:08:30  profilanswer
 

faut juste que tu vérifies DANS menu_admin.php que ta session est bien celle de l'admin ...
 
après, au niveau failles, tout ce qui vient de l'utilisateur est une faille potentielle (c.à.d. pas forcément sûre) :
- le user agent
- l'adresse ip
- le fichier téléchargé
- le contenu de $_POST
- le contenu de $_GET
- ...
 
bref, tout ce qui fait que ton utilisateur ne fait pas que lire une page, mais interagir avec elle ...


---------------
NewsletTux - outil de mailing list en PHP MySQL
n°1936290
johnson950
Posté le 29-10-2009 à 17:23:47  profilanswer
 

NewsletTux a écrit :

faut juste que tu vérifies DANS menu_admin.php que ta session est bien celle de l'admin ...


 
Si je vérifie et que ce n'est pas bon, comment faire pour faire un include du menu_util vu que l'on se trouve déjà dans le menu_admin.
 
 

n°1936293
johnson950
Posté le 29-10-2009 à 17:25:35  profilanswer
 

ah oui !!!
 
menu_admin.php

Code :
  1. if($_SESSION[droit_util] != "admin" ){
  2. include("menu_util.php" );
  3. }else{
  4. on affiche le mnu admin
  5. }


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Include d'un menu selon la session ou on se trouve, sécurité ?

 

Sujets relatifs
[php] un include de contenu dans page sans rechargement : possible?[PHP] Include. Problème de mise en place.
Menu avec une couleur dynamique Entity Manager et Session beans methode d'update
Problème de session avec un objet Soap[RESOLU] <li> d'un sous menu qui s'affiche horizontalement
Problème de compilation gcc / Repertoires 'include' pas trouvésinclude sans image site distant
Problème menu horizontal CSSLaisser tourner un thread en fin de session
Plus de sujets relatifs à : Include d'un menu selon la session ou on se trouve, sécurité ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR