Bonjour,
je pose ici une question dont je n'ai pas trouvé la réponse dans le forum.  
En gros, je me demande si la solution que j'ai mise en place pour l'identification des administrateurs sur un site, est correcte :
 
On s'identifie, si le login et le mdp correspondent, alors je stocke le login dans une variable de session, et j'initialise une autre variable de session comme ceci :
$_SESSION['acces'] = "admin"
avant de rediriger l'admin sur la page principale d'administration.
 
Ensuite sur toutes les pages je vérifie si cette derniere session existe (et avec cette valeur là), si c'est le cas on autorise l'accès sinon on est redirigés à la page d'accueil.
 
Est-ce que cette solution est correcte ? Y a t-il des risques de sécurité ? Sinon auriez-vous un petit tuto à m'indiquer qui explique justement comment sécuriser l'accès au site avec les sessions ?
 
Merci  

Ca me semble correcte, ne stockes pas les mots de passes en clair même dans une variable de session c'est tout.  
 
Je te conseille d'utiliser les cookies pour les sessions de ce genre, ca évite de passer la session_id dans l'url ou alors compile php avec enable-trans-sid.
 
La sécurité dependra plutot du stockage des mots de passe et de la vulnérabilité de ton site au injection SQL.

Merci pour ta réponse
 
Non le mot de passe n'est stocké nul part, et le sid de la session n'est pas transmis en clair dans l'url. Je devrais donc supposer que c'est bon ?
 
Je vais chercher aussi pour enable-trans-sid. Merci encore

Si tu vois pas le sid dans tes liens et la barre d'adresse c'est que c'est bon

Au fait j'ai encore une question qui m'est passée par l'esprit, admettons qu'un type imagine par le plus grand des hasards ce que j'ai codé dans ma page et qu'il se crée une page où il initialise deux sessions :
 
$_SESSION['login'] = (un login déjà existant)
$_SESSION['acces'] = "admin"  
 
Il pourra du coup avoir accès à toutes mes pages ?
 
Je me demande si à la limite je ne devrais pas mettre en place une vérification de l'url de provenance et crypter le contenu de la session "accès".
 
Sinon j'ai regardé un peu cette page-là :
http://wiki.mediabox.fr/tutoriaux/ [...] ssions-php
 
et tout en bas de la page il donne une méthode d'identification, cependant elle ne fait que vérifier si un login existe ! N'est-ce pas dangereux ??

Oui enfin il faut qu'il se crée ses sessions sur ton herbergement quand même, les sessions sont enregistrées sur ton serveur, le cookie ne sert qu'a stocker le session_id il me semble.
 
J'ai pas trop regardé le tuto mais a partir du moment que la variable de session n'est crée que si un login et passe est vérifié non c'est pas dangereux.

Ok merci encore une fois pour ta réponse alors, je commence à y voir plus clair