Bah en ASP, les variables de session sont disponible dans le code par l'intermédiaire de l'objet "session" et c'est tout. Donc si un utilisateur mal intentionné essaie de passer au travers en mettant des infos dans l'URL, ça n'ira pas dans l'objet session, mais dans la collection Request.QueryString (et pas héritage dans Request tout court). Mais en aucun cas on ne peux mélanger les deux, contrairement au PHP où jusqu'à récement, on ne pouvais même pas faire la différence entre ces types de variable.
Moi je te conseille un truc simple :
A début de chaque page :
<!-- #INCLUDE file="login.asp" -->
Dans ce fichier tu affiches au cas ou session("LOGIN" ) = "" un formulaire pointant sur "checklogin.asp" qui va vérifier que les login et password passés en Request.Form (donc forcément transmis par un formulaire, donc inviolable) correspondent à ce qu'il y a dans la base.
Ensuite, toujours dans cette page, tu mets le login passé en Form dans la session, et tu renvoies sur la page appelante (je te laisse jouer avec, je vais pas non plus te faire ton site )
Message édité par MagicBuzz le 28-10-2003 à 15:52:15