espace d'administrationRésolu

Question

Bonjour,

Je d&#233;bute en php et je souhaiterais savoir comment cr&#233;er des droits
d'acces &#224; l'administration pour certains membres enregistr&#233;s (un peu
comme les CMS sauf que ici seulement 2 niveaux &#224;pres enregistrement :
admin et membre).

Dois-je cr&#233;&#233; une table admins par exemple et sp&#233;cifi&#233; les admins ? ou
alors un champ &#224; rajout&#233; dans la table membres en faisant un controle
de l'acc&#232;s avec les sessions ?

merci de vos r&#233;ponses.

morpheus262 · Accepted Answer

Ben au choix les deux methodes sont faisables. Si tu as peux d admin et que ceux si peuvent aussi surfer sur le site en tant que membre, une bonne solution consiste a rajouter un champ. Si tu as beaucoup d admin creer une table specialis&#233; et si ils peuvent aller sur le site test aussi sur cette table. J ai fait plusieurs site et j utilise les deux methodes. 


<HR>
On ne peut pas savoir tout faire, mais on peut tout apprendre avec du travail. Morpheus262

PS: Besoin d aide pour developper, besoin d un collaborateur pour faire votre site, contacter moi par mail
l

malalam · Answer

Hello,



tu peux creer une table "groupes", contenant par exemple le nom du
groupe, et son id (les droits, si tu les stockes, devront plutot etre
dans une table "droits".

Ensuite, de deux choses l'une : soit un membre peut appartenir a
plusieurs groupes, et dans ce cas tu dois creer une table intermediaire
contenant : id_user et id_groupe.

Soit chaque membre ne peut appartenir qu'a 1 seul groupe, et dans ce
cas tu ajoutes l'id_groupe auquel un utilisateur appartient dans son
enregistrement dans ta table user (donc tu crees un nouveau champ
"id_groupe" dans ta table "users").

Apres evidemment, sessions... :-)

k4n4r · Answer

Merci pour vos r&#233;ponses, &#233;tant donn&#233;e que c'est un petit site je vais rajout&#233; un champ dans la table membres.

malalam · Answer

Hmmm,



sans vouloir offenser Morpheus, ca n'a aucun rapport. Ajoute
directement a ta table users SI chaque user ne peut appartenir qu'a 1
seul groupe. Sinon, fais une nouvelle table. Si tu ne fais pas ca comme
ca, tu auras tot ou tard des soucis.

Mais comme je pense que chaque utilisateur ne peut appartenir qu'a un seule groupe...oui, tu peux ;-)

morpheus262 · Answer

Salut malalam, tu ne m offenses pas je suis la pour apprendre, tu sembles en connaitre plus que moi. et donc je m interroge, car j utilise la methode de la base agrandi d un champ sur un des mes site depuis plusieurs mois voire ann&#233;es, j ai meme pouss&#233; le truc car j ai 4 types d utilisateurs, tu parles qu un jour ou l autre il y aura des problemes a quoi penses tu et pourquoi (ne le prend pas mal j aimerai vraiment savoir pour optimiser voire opter ta solution). et j ai pas tout suivi ta solution ca consiste a rajouter 2 tables de plus en quoi cela peut etre plus simple et ou efficace ?

merci de tes reponses


<HR>
On ne peut pas savoir tout faire, mais on peut tout apprendre avec du travail. Morpheus262

Ecoute Autrui et tu apprendras...

malalam · Answer

Non, en fait... tout est question de relations.

Mettons que tu as une table 'users'.
Chaque users peut faire partie d'1 groupe.
A ce moment la : tu crees une table 'groupes' avec nom_groupe et id_groupe par exemple (si tu veux stocker les droits de chaque groupe...il faut reflechir...une autre table 'droits' peut etre bien).
Et dans ta table 'users', tu ajoutes une clef etrangere id_groupe pour savoir a quel groupe appartient ton utilisateur. Ca, c'est ok. Ca ne changera pas gdchose de rajouter une autre table a ce compte la.

mais si un utilisateur peut appartenir a plusieurs groupes, tu ne peux plus jouer avec ca, il te faut une 3eme table qui fera le lien entre 1 utilisateur et 1 groupe: la table 'user_groupe' par exemple, qui contiendra id_groupe et id_user. De cette maniere, un utilisateur dont l'id est 99 pourra etre lie aux groupes 2, 3 et 5 par exemple :
99 2
99 3
99 5
grace a 3 entrees dans cette table.
ca, tu ne peux pas le faire facilement (et ce n'est pas recommande en tous cas pas dans la methode Merise) de le faire uniquement sur ta table 'users'. 

C'est tout, lol.  Tout est a reflechir surtout en terme de relations : 1,n ou 0,n etc...

cs_Anthomicro · Answer

Salut, si tu n'as que deux niveaux de droits, le champ rajouté est la méthode la plus efficace, de toute façon tu peux monter très haut même avec un seul champ. Pense à le mettre de type numérique (TYNINT) pour optimiser la structure de ta base et la place occupée. En fonction des droits (admin ou membre) correspondra à un 0 ou un 1 dans ta table par exemple. a +

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

malalam · Answer

Et puisqu'on y est, on utilise mysql_real_escape_string() lors des identifications ou autres saisies dans la base a partir de formulaires, histoire que personne ne te pique ton compte admin qui est certainement le 1er a apparaitre dans la base.

cs_Anthomicro · Answer

ouais ou les fonctions addslashes et stripslashes, ça revient au même

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

malalam · Answer

Sauf que mysql_real_escape_string () tient compte de ce qui est dangereux pour mysql. Il se trouve que ca correspond pour le moment, oui, mais si ca change un jour, myreal_escape_string() sera toujours valable (pour ysql) et plus addslashes()...parce que addslashes() ne s'occupe que de php et du html. Donc en cas de mise a jour...on est marron si on utilisait addslashes() et il ne restera plus qu'a revoir tous nos codes ;-) Donc je persiste : mysql_real_escape_string () est preferable quand il s'agit d'echapper des trucs pour des requetes.

cs_Anthomicro · Answer

Bah que faut-il échapper ? les ' et " addslashes fait ça très bien (donc je persiste aussi mdr) enfin bon je testerai à l'occassion quand j'aurais le temps les différences entre les deux fonctions.

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

cs_Anthomicro · Answer

j'ai oublié les \ aussi

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

malalam · Answer

Pour l'instant, rien d'autre, lol.
ce que je veux dire c'est que si un jour ca change...si les developpeurs de mysql changent certains trucs et que certains autres caracteres doivent etre echappes : mysql_real_escape_string () sera mis a jour automatiquement parce que cette fonction est faite conjointement avec eux. Mais addslashes () se contentera toujours d'echapper uniquement ce qui compte pour le html et php.  Donc si ca czhange un jour et que tu as utilise mysql_real_machin ( c chiant a ecrire lol), c'est bon, tu n'as rien a changer (a part mettre ta version de php a jour). Mais si tu as utilise uniquement addslashes, t'as plus qu'a revoir tous tes scripts.
C'est juste en prevision...et ca pourrait arriver lol.

cs_Anthomicro · Answer

ouais, en même temps faudrait que ce soit vraiment tordu pour échapper d'autres caractères, mais ton raisonnement tient la route.

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

malalam · Answer

Suis d'accord...mais les programmeurs SONT tordus...c'est un fait, lol. J'ai regarde quand meme par acquis de conscience : addslashes () : single quote ('), double quote ("), backslash (\) and NUL (the NULL byte) myreal_machin () : \x00, , , \, ', " and \x1a. Ca echappe aussi les retours chariots...! (entre autres) Mais je ne sais pas en quoi c'est dangereux...

cs_Anthomicro · Answer

bah je ne sais pas non plus...

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

k4n4r · Answer

Merci, je n'avais pas utilis&#233; mysql_real_escape_string(), je vais
l'utilis&#233; si c'est plus s&#233;curis&#233;, concernant les addslash, lors de
l'enregistrement j'ai interdit les caract&#232;res non-alphanum&#233;riques, donc
je n'ai pas besoin de l'utilis&#233;, corriger moi si je me trompe.

malalam · Answer

Si tu es sur de ton interdiction, alors non, ca devrait etre bon. Je ne pense pas que l'on puisse faire d'injection sql uniquement avec des caracteres alphanumeriques. Il faut au moins commenter, et on a surement besoin d'une ou deux apostrophes ;-)

cs_Anthomicro · Answer

Perso j'ai aussi interdit quelques caractères spéciaux dans le pseudo lors de l'inscription, ça empêche toute fraude de ce côté.

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

Espace d'administration

19 réponses

Votre réponse

Discussions similaires