Securisation (Get etc... )

[Résolu]
Signaler
Messages postés
239
Date d'inscription
jeudi 21 juillet 2005
Statut
Membre
Dernière intervention
1 juillet 2007
-
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
-
Bonjour,
J'ai creer recemment un espace membre avec différents modules etc...
Mais je remarque que rien n'est securisé et que les membres peuvent si ils le souhaitent supprimer les messages d"un autre membre en allant par exemple sur :

http://site.com/dossier/mes_news.php?modif=9 --> ca c'est ma rubrique à moi mais si je connai monsieur dupont qui a l'id numéro 10 je peux aller dans sa rubrique à lui

http://site.com/dossier/mes_news.php?modif=10 --> et hop je pe modifier ces messages, etc....

je ne sais pas ou je pourrai trouver des tutos ou des renseignement pour proteger cela...
les sessions_start y sont ya pa de doute ! mais ca ne suffit pas ! il faut proteger encore les id qui ne nous appartient ou pas ! etc..

et franchement je ne trouve pas de moyens pour mettre ceci...
quelquun peut il maider ?
merci

8 réponses

Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
4
<?php

$requete = "SELECT * FROM livredor ".


" where id_livredor='$idmbr'";

$result = mysql_query($requete);

$data = mysql_fetch_array($result);

if ( $data['auteur'] === $_SESSION['login'] ) {

// Membre ok pour modification

} else {

// Ca n'est pas possible pour modifier

}

?>

Mais j'ai pas l'impression que tu t'y es bien pris... mais sinon ca reste une solution !
Messages postés
239
Date d'inscription
jeudi 21 juillet 2005
Statut
Membre
Dernière intervention
1 juillet 2007

Bien sur malalam je chercherai sans toi ! "Pas de Probleme." ! Je fais comme ci que tu n'as rien dis...


En réponse avec FHX, merci beaucoup... c'est super :)
Au moins quelquun qui a compris ;)

@bientot :)
Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
25
Hello,



tes sessions doivent vérifier que l'utilisateur loggé est le bon...
Messages postés
239
Date d'inscription
jeudi 21 juillet 2005
Statut
Membre
Dernière intervention
1 juillet 2007

Je cite :
"Les sessions qui doivent verifier que lutilisateur logué est bon..."

ca je le savais deja ! ça sert a rien de me le dire et envoyer un message pour me dire juste ca ! c'est le fait de taper le code !
genre :
$requete = 'SELECT * FROM membres '.
' WHERE id=\''.$_SESSION['membreid'].'\'';

Je dois donc ajouter ceci ...
exemple :

$requete = "SELECT * FROM livredor ".
" where id_livredor='$idmbr'";
$result = mysql_query($requete);
$requete1 = 'SELECT * FROM membres '.
' WHERE id=\''.$_SESSION['membreid'].'\'';

$result = mysql_query($requete1);


je ne sais pas du tous...
Je repete donc... que dois je mettre pour proteger mes pages ?
Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
25
Vu tes réponses, tu te débrouilles.

Il y a une question de logique qui t'échappe dans ce que je t'ai dit
visiblement. Tu ne protèges rien du tout, là, vu ton fonctionnement.



Mais tu chercheras sans moi, vu ton amabilité.
Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
25
Oui, FhX t'as écrit en dur ce que je t'ai suggéré, puisq'apparemment tu
ne comprends que de cette manière. Réflêchir, non...? Non.

Mais il est clair que tu pourras ne plus compter sur moi pour répondre à un seul de tes messages. Ton attitude est déplorable.
Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
4
Oui Malalam t'as dis la réponse un peu à la va-vite :)

Ce qu'il voulait dire, en plus large, était de vérifier l'identité de l'auteur du message par rapport au login de ta session.



Moi j'avais compris, mais si tu n'avais pas compris, autant redemander une explication gentillement, ca ne tue personne =)
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
En même temps ce n'est qu'une question de logique, si tu ne connais pas
les bases de la logique (car je suppose que tu connais un peu de mysql
et de php pour savoir afficher un truc en fonction d'un id dans l'url)
on peut rien faire pour toi...

<hr size="2" width="100%"><li>Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique</li>