Sujet Précédent Sujet Suivant

Faille de securité

Résolu
drebin78945 Messages postés 15 Date d'inscription mercredi 29 mars 2006 Statut Membre Dernière intervention 11 avril 2006 - 5 avril 2006 à 17:02
drebin78945 Messages postés 15 Date d'inscription mercredi 29 mars 2006 Statut Membre Dernière intervention 11 avril 2006 - 5 avril 2006 à 17:42
bonjour,

j'aurais besoin de votre avis eclairé...

sur mon site, j'ai un index unique (pages de type index.php?pid=..=) associé à une fonction link.inc.php

certaines pages de mon site ne sont accessibles que quand la session est ouverte, d'autres sont publiques

dans tous les cas, que la page soit reservée aux utilisateurs enregistrés ou pas, je dois verifier l'état de la session pour afficher en entete, soit un petit espace d'authentification si la session n'est pas ouverte, soit le statut ("Bonjour Monsieur XX XX) si la session est enregistrée.

j'ai donc mis en debut d'index include $verifsession qui est verifié par la fonction link.inc.php, permettant ainsi d'avoir deux types de verifiation de session suivant si la page est publique ou privée.

$verifsession est parametrer dans "link.inc.php" selon la pid appelé: 

    case 101 : (//page publique)
    $corps = "includes/public.php";
    $verifsession= "function/verif.session.php";
    break;
    
    case 102 : (//page privée)
    $corps = "include/form_recherche.php";
    $verifsession= "function/verif.session.secure.php";
    break;


"verif.session.php" verifie simplement la session pour savoir si il faut afficher l'espace de connexion ou le nom du connecté

"verif.session.secure.php" verifie en plus si l'utilisateur est connecté pour le rediriger si il ne l'est pas.

ca fonctionne très bien, mais j'ai quand meme un petit souci:

en faisant, "index.php?pid=101" ou "index.php?pid=102" ca marche très bien, mais si l'utilisateur venait à taper à la place le vrai nom de page cad "include/form_recherche.php" (je vois pas comment il peut le savoir mais bon...) ca n'appelle plus "verif.session.secure.php" et affiche donc la page, d'où le pblm de sécurité...

qq'un aurait-il une idée pour palier à cette faille?

merci.

2 réponses

Réponse 1 / 2
raven44 Messages postés 315 Date d'inscription mercredi 23 mars 2005 Statut Membre Dernière intervention 21 mars 2011 1
5 avril 2006 à 17:37
Hello,

Je vais avoir du mal a t'aidé sur ce domaine mais je peux te renvoyer ici :
http://www.phpcs.com/codes/PROTECTION-SITE-CONTRE-ACCES-DIRECTS-PAGES_18288.aspx

A toi de l'adapter à ton code.

Bonne chance.
3
Réponse 2 / 2
drebin78945 Messages postés 15 Date d'inscription mercredi 29 mars 2006 Statut Membre Dernière intervention 11 avril 2006
5 avril 2006 à 17:42
merci!
0

Discussions similaires

Calcule Numéro de Sécurité Sociale
Morocco13 -
Bul3 -

1 réponse
Probleme Faille XSS - Merci pour votre aide !
Utilisateur anonyme -
smed79 -

1 réponse
calcul de la clé de contrôle du numero de sécurité sociale
sanaa077 -
crenaud76 -

1 réponse
DEBAT : Faille Include et autres.
shudrummer -
Rimb0 -

10 réponses
Faille de sécurité avec Include ?
Saga974 -
Anthomicro -

2 réponses
Rejoignez-nous