Avis sur la gestion des mises à jour ... Résolu

Question

Bonjour,

Je souhaiterais avoir votre avis sur la gestion des mises à jour d'un formulaire d'information sur un membre déjà connecté.

Actuellement, je fonctionne de la façon suivante :

J'ai un formulaire avec un champ hidden ou je mets l'id de l'utilisateur. Sachant que cet id est remplis que si l'utilisateur est connecté (biensur).

Pensez-vous que cela peu poser un problème au niveau de la sécurité ?

Ou autrement, du faite que l'id soit aussi présent dans la session, je peux (dois) uniquement prendre celui-ci pour effectuer les opération de mise à jour ?

Merci d'avance de vos conseils.
Bien cordialement.

avion-f16 · Answer

Tout ce qui est côté client est modifiable.
Sous Firefox, l'extension Firebug facilite les modifications.
Et sous Chrome, on peut utiliser l'outils pour les développeurs (Ctrl+Maj+J)

Ensuite ça dépends comment tu gères la modification du membre.
Tu peux le faire via une page qui contient son ID par GET, ce qui permettrait aussi à un administrateur de modifier le compte.
Ou bien une page "compte.php" qui change selon l'id dans la session.

avion-f16 · Answer

Les données des sessions sont stockées sur le serveur.
Il n'y a que l'ID de la sesssion (PHPSESSID, à ne pas confondre avec l'id du mmebre) qui est stockée dans un cookie.
Modifier le cookie ne sert à rien si tu ne connais pas l'ID d'une autre session.

nico_73 · Answer

Merci ça me rassure.

D'ailleurs ca me fait penser au vol d'identité et qu'il faut que je vérifie a chaque page si l'utilisateur de la session actuelle est bien le même que ce lui de la page précédente.

Merci pour ton aide avion-f16

Avis sur la gestion des mises à jour ...

3 réponses

Discussions similaires

Newsletters