Bonjour,
 
j'ai un petit soucis de sécurisation sur le site sur lequel je travail
 
voilà j'ai un créer un script de session, surla page accueil,
 
j'ai mis session start en début de chaque page de mon site.
 
les log marchent mais si on met url de la page compte, et bien on tombe sur un comte de la base.
 
comment rectifier cette fail
 
 
merci

if(isset($_SESSION['logged']))
 ....
else
 ...

merci,
 
un truc tout con et je l'ai pas vu

hmmm verifier en plus le contenu de $_SESSION['logged'] peut etre pas mal...
plus verifier l'ip si c'est la meme que lors de la connexion ...

par contre des que j'ai un formulaire  il que je modifie il me dit me met le meme message d'erreur comme si il y a vais pas de session

esox: c un tout et je pense quil est bien de verifier que lorigine de la connexion est toujours la meme, en plus de esavoir si la session existe et que les login/pass sont toujours les bons

En francais ca donne quoi ?

burinho: quel message exactement ?

 
Sauf que si la personne en question passe par un proxy ou fait des magouilles de ce genre la elle se fera peter. Apres si tu te met a verifier des trucs sur l'IP, si t'es dans une entreprise avec une seule IP (voir pas d'IP relachée) tu sera peté... Ca a ete répété 100'000 fois que l'ip n'est PAS un systeme de controle d'acces

esox : tu lis la moitie des choses
1) j'ai pas dit que sur l'IP
2) imagine un mec qui se fait choper ses login/pass ou meme un SESSION ID poof ... si tu verifies pas en + l'ip tu lui facilite le boulot ...  
bon ok c pas une barriere infranchissable, mais c'est toujours bon a prendre
 
mais je repete, je n'ai jamais parler d'un controle uniquement baser sur l'ip ...

t'as bien ton session_start() au debut de ce fichier ?

oui
 

ton error_display n'est pas sur none des fois ?
dans tous les cas fait deja un echo du $_SESSION['utilisateur'] si tu es sur de l'avoir bien initialisee avant
tu peux aussi comparer les session_id();
tu les echos sur les 2 pages et tu compares

tu verras comme ca si la session est bien transmise

 
Disons que ca me ferais chier de pas pouvoir aller lire mes mails parceque je me suis connecté sur mon 2ème ordio ... Ou parceque je suis au bahut .... Et que donc bienque mon login/mdp soit bon l'ip ne l'est pas ... Deplus j'ai pas un IP statique ... donc ca serait pas marrant de recreer un compte chaque jour.
 
Le SESSID : Deja en le passant par cookies (faut forcer ca dans php.ini) ca limite les chances que qqn l'intercepte. Deplus si tu le log dans la table des utilisateurs, ca limite encore les problemes que qqn choppe un vieux ID et passe quand meme.
 
 
Tout ca pour dire : Lache l'affaire avec les IP, c'est pas une bonne idée

tu lis pas ... hallucinant ... enfin bon.
de plus par rapport a ton premier exemple, quest ce qui t'interdit douvrir une 2e session ??
 
relis bien ... : "tu compares l'ip courrante ... comprend celle de la navigation ... avec celle que tu as utilise lors de ta connexion"
 
=> tu t'identifies, ca stock l'ip dans la session comme tout le reste, tu check a chaque fois ... et la tu vois que tu n'as pas lu ou compris ce que javais ecrit ... je n'ai jamais parler de faire une identification sur ton IP mais de proteger une session ouverte, entre autres par rapport a l'ip ... bref ... calme

Je comprend ce que tu veux faire, j'ai lu ce que tu veux faire, et je te repond : C'est pas parceque tu as l'impression que c'est une bonne idée que c'en est effectivement une !!!  
Maintenant si tu veux continuer a l'utiliser, y a pas de problemes, ca te regarde. Mais ton "complement" de securité va t'amener plus d'emmerdes qu'il va t'en creer

je l'utilise depuis tres lgtps sur mes scripts sans soucis, ne t'en fais pas.

apparament le echo $_session ne répond pas au echo

rassure moi, c'est bien mis en majuscule ?
sinon pour en revenir a ton echo, la session n'est pas transmise a priori .  
t'as fait des "echo session_id();" ?

voilà j'ai trouver mon erreur c'était du  à un probleme de code

ok

et j'ai ecrit session_start () en minuscule
 
merci pour le coup de main

je parlais de $_SESSION

oui en le majuscule

ok ok