bingojm | Bonjour à tous,
J'ai un problème de sécurité sur mon site,
En effet, j'utilise une vérification au-dessus de chaque page php (pour les pages réservées aux membres).
Quand celui-ci se connecte, il reçoit un id qui s'ajoute aux liens des pages sur lesquelles il va.
NB: Cet id change à chaque nouvelle connection.
Donc une fois connecté, on devrait avoir par ex: www.monsite.com/membres/calculs.php?id=12245sqsddf554
Le problème est que si je tape l'adresse complète, donc sans l'id (et la suite) comme par exemple: www.monsite.com/membres/calculs.php
j'arrive à rentrer sur la page.
Ce n'est pas le cas pour tous, pourtant!
Voici le code que j'utilise en début de page:
Code :
- <?
- require("conf.php3" );
- // CONNEXION MYSQL
- $db_link = @mysql_connect($sql_serveur,$sql_user,$sql_passwd);
- if(!$db_link) {echo "Connexion impossible à la base de données <b>$sql_bdd</b> sur le serveur <b>$sql_server</b><br>Vérifiez les paramètres du fichier conf.php3"; exit;}
- // SELECTION DE L'ENREGISTREMENT CONTENANT L'ID EN COURS
- $requete=mysql_db_query($sql_bdd,"select * from acces, membres where id=\"$id\" AND id_membre=idmembre",$db_link) or die(mysql_error());
- $erreur2="http://www.self-defense-hrj-namur.be/fichiers/fr/membres/erreur2.php?id=$id";
- // SI L'ID N'EXISTE PAS
- if(mysql_num_rows($requete)==0)
- {
- // REDIRECTION PAGE ERREUR
- header("Location:$erreur2" );
- exit;
- }
- // LIGNE FACULTATIVE : RECUPERATION DU PSEUDO
- $pseudo_membre=mysql_result($requete,0,"pseudo" );
- $nom=mysql_result($requete,0,"nom" );
- $prenom=mysql_result($requete,0,"prenom" );
- $idmembre=mysql_result($requete,0,"id_membre" );
- // DECONNEXION MYSQL
- mysql_close($db_link);
- ?>
|
Je pense que mon problème pourrait être résolu en demandant à la requête de vérifier s'il existe bien un id dans l'url, mais comment faire?
merci d'avance!
|
