Sécurité sur la redirection automatique header()
Résolu
ajaoh.38
Messages postés
413
Date d'inscription
Statut
Membre
Dernière intervention
-
ajaoh.38 Messages postés 413 Date d'inscription Statut Membre Dernière intervention -
ajaoh.38 Messages postés 413 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'ai une question sur la sécurité de l'utilisation de la fonction header.
Dans ma situation j'ai en ensemble de pages réservées aux utilisateurs membres. Ceux-ci se connectent via un formulaire (formulaire.php) à la suite duquel si les id et mdp sont cohérents, une SESSION est créée avec leur login et password en variable de Session.
En début de mes pages réservées j'aimerai inclure le code suivant afin de vérifier si le client a créé une session (donc si c'est un membre) :
A la suite de ce bout de code je déroule mon code HTML avec le contenu de ma page.
J'aimerai savoir si cela est bien en terme de sécurité ou si le client peut (via son navigateur) empêcher la redirection automatique du header(...) et voir le contenu de la page.
Merci de vos réponses
J'ai une question sur la sécurité de l'utilisation de la fonction header.
Dans ma situation j'ai en ensemble de pages réservées aux utilisateurs membres. Ceux-ci se connectent via un formulaire (formulaire.php) à la suite duquel si les id et mdp sont cohérents, une SESSION est créée avec leur login et password en variable de Session.
En début de mes pages réservées j'aimerai inclure le code suivant afin de vérifier si le client a créé une session (donc si c'est un membre) :
session_start() ;
$login = $_SESSION['login'] ;
$pwd = $_SESSION['pwd'] ;
if (empty($login) OR empty($pwd)) {
header('Location: formulaire.php'); exit();
}
A la suite de ce bout de code je déroule mon code HTML avec le contenu de ma page.
J'aimerai savoir si cela est bien en terme de sécurité ou si le client peut (via son navigateur) empêcher la redirection automatique du header(...) et voir le contenu de la page.
Merci de vos réponses
A voir également:
- Sécurité sur la redirection automatique header()
- Question de sécurité - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Réponse automatique thunderbird - Guide
- Logiciel de sauvegarde automatique gratuit - Guide
- Recherche automatique des chaînes ne fonctionne pas - Guide
1 réponse
Bonjour,
Le code PHP étant interprété côté SERVEUR, l'utilisateur ne peut pas y avoir accès depuis son navigateur.
Donc oui... c'est une bonne méthode ('qui a déjà fait ses preuves....).
Petite correction tout de même de ton code :
NB : on vérifie l'existence des variables AVANT d'essayer de les utiliser.
NB² : Pourquoi stocker le password en SESSION ?
Ne conserve en SESSION que l' ID et/ou le LOGIN de ton utilisateur...ça suffit !
Le code PHP étant interprété côté SERVEUR, l'utilisateur ne peut pas y avoir accès depuis son navigateur.
Donc oui... c'est une bonne méthode ('qui a déjà fait ses preuves....).
Petite correction tout de même de ton code :
<?php //démarrage des SESSIONS session_start() ; //Récupération "propre" des variables $login = !empty($_SESSION['login']) ? $_SESSION['login'] : NULL ; $pwd = !empty($_SESSION['pwd']) ? $_SESSION['pwd'] : NULL ; //redirection si non connecté. if (!$login || !$pwd) { header('Location: formulaire.php'); exit(); } // Puis le reste de ton code php et/ou html... //....
NB : on vérifie l'existence des variables AVANT d'essayer de les utiliser.
NB² : Pourquoi stocker le password en SESSION ?
Ne conserve en SESSION que l' ID et/ou le LOGIN de ton utilisateur...ça suffit !
Merci pour ta réponse claire et nette.
Pour ce qui est des NB : je commence tout juste PHP du coup c'est vrai que je dois prendre les bonnes habitudes tôt.
Merci,