Securisation (Get etc... )Résolu

Question

Bonjour, 
J'ai creer recemment un espace membre avec diff&#233;rents modules etc... 
Mais je remarque que rien n'est securis&#233; et que les membres peuvent si ils le souhaitent supprimer les messages d"un autre membre en allant par exemple sur : 

http://site.com/dossier/mes_news.php?modif=9  --> ca c'est ma rubrique &#224; moi mais si je connai monsieur dupont qui a l'id num&#233;ro 10 je peux aller dans sa rubrique &#224; lui 

http://site.com/dossier/mes_news.php?modif=10 --> et hop je pe modifier ces messages, etc.... 

je ne sais pas ou je pourrai trouver des tutos ou des renseignement pour proteger cela... 
les sessions_start y sont ya pa de doute ! mais ca ne suffit pas ! il faut proteger encore les id qui ne nous appartient ou pas ! etc.. 

et franchement je ne trouve pas de moyens pour mettre ceci... 
quelquun peut il maider ? 
merci

FhX · Accepted Answer

<?php

$requete = "SELECT * FROM livredor ".

                      
" where id_livredor='$idmbr'";

$result = mysql_query($requete);

$data = mysql_fetch_array($result);

 if ( $data['auteur'] === $_SESSION['login'] ) {

 // Membre ok pour modification

} else {

 // Ca n'est pas possible pour modifier

}

?>

Mais j'ai pas l'impression que tu t'y es bien pris... mais sinon ca reste une solution !

malalam · Answer

Hello,



tes sessions doivent v&#233;rifier que l'utilisateur logg&#233; est le bon...

milkasoprano · Answer

Je cite : 
"Les sessions qui doivent verifier que lutilisateur logu&#233; est bon..."

ca je le savais deja ! &#231;a sert a rien de me le dire et envoyer un message pour me dire juste ca ! c'est le fait de taper le code ! 
genre : 
 $requete =  'SELECT * FROM membres '.
                       ' WHERE id=\''.$_SESSION['membreid'].'\'';

Je dois donc ajouter ceci ... 
 exemple :  

    $requete  = "SELECT * FROM livredor ".
                       " where id_livredor='$idmbr'";
    $result = mysql_query($requete);
     $requete1 = 'SELECT * FROM membres '.
                       ' WHERE id=\''.$_SESSION['membreid'].'\'';
                     
     $result = mysql_query($requete1);


je ne sais pas du tous...
Je repete donc... que dois je mettre pour proteger mes pages ?

malalam · Answer

Vu tes r&#233;ponses, tu te d&#233;brouilles.

Il y a une question de logique qui t'&#233;chappe dans ce que je t'ai dit
visiblement. Tu ne prot&#232;ges rien du tout, l&#224;, vu ton fonctionnement.



Mais tu chercheras sans moi, vu ton amabilit&#233;.

milkasoprano · Answer

Bien sur malalam je chercherai sans toi ! "Pas de Probleme." ! Je fais comme ci que tu n'as rien dis...


En r&#233;ponse avec FHX, merci beaucoup... c'est super :) 
Au moins quelquun qui a compris ;) 

@bientot :)

malalam · Answer

Oui, FhX t'as &#233;crit en dur ce que je t'ai sugg&#233;r&#233;, puisq'apparemment tu
ne comprends que de cette mani&#232;re. R&#233;fl&#234;chir, non...? Non.

Mais il est clair que tu pourras ne plus compter sur moi pour r&#233;pondre &#224; un seul de tes messages. Ton attitude est d&#233;plorable.

FhX · Answer

Oui Malalam t'as dis la r&#233;ponse un peu &#224; la va-vite :)

Ce qu'il voulait dire, en plus large, &#233;tait de v&#233;rifier l'identit&#233; de l'auteur du message par rapport au login de ta session.



Moi j'avais compris, mais si tu n'avais pas compris, autant redemander une explication gentillement, ca ne tue personne =)

cs_Anthomicro · Answer

En même temps ce n'est qu'une question de logique, si tu ne connais pas les bases de la logique (car je suppose que tu connais un peu de mysql et de php pour savoir afficher un truc en fonction d'un id dans l'url) on peut rien faire pour toi...

Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique

Securisation (Get etc... )

8 réponses

Votre réponse

Discussions similaires