Discussion :

[johnson95]

Bonjour,

Petite questions de sécurité :

Je dispose d'un site avec authentification (deux types d'utilisateurs différents).
Ainsi selon le type d'utilisateur connecté, je veux lui afficher un menu spécifique.

pour cela lorsqu'il se connecte, je lui ouvre une session et lui attribut ses droits (par exemple $_SESSION['droit_util'] = admin ou util...)
Ensuite lorsque j'ouvre la page je fais récupéré la valeur de session et je compare :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
switch($_SESSION['droit_util'])
case "admin": include("menu_admin.php");
break;
 
case "util": include("menu_util.php");
break

Mes questions :
1 - Faire des "include" avec des variables de sessions est il sécurisé ? si ce n'est pas sécurisé que me proposez vous ?
2 - D'un point de vue sécurité, les variables de session sont ils bien protégés ?

Merci pour vos réponses

Maxime

[roduce]

As tu vraiment beaucoup d'autres solutions?

Les cookies sont coté client... donc une horreur.

Au pire tu peux tenter l'IP si les personnes qui se connectent ont des ips fixes si tu veux rajouter une couche.

Mais sinon ton code me parait très bien.

[johnson95]

Merci pour votre réponse.

J'essaye de me documenter un maximum sur les failles des sites internet, auriez vous des sites ou des explications ou tout autres choses pouvant me servir pour protéger un site Internet ?

Merci

[alain31tl]

Bonsoir,

Si on ne souhaite pas se retrouver avec un fichier solo de 10 000 lignes, les "include" se justifient et sont prévus à cet effet, et ceci independemment de l'aspect sécurité.

Ensuite, l'utilisation d'un switch comme tu le présentes, pourquoi pas.
Cependant, tu fais appel directement à la variable de session, sans vérifier si cette même session est déclarée.

Perso, j'affinerais le "truc" :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
if ((isset($_SESSION['droit_util'])) 
{ 
switch($_SESSION['droit_util'])
case "admin": include("menu_admin.php");
break;
// etc...
}

[cholopat]

hello,

suis pas du tout un pro en sécurité, mais je pense que dire que la première manière de protéger une porte est de ne pas diffuser ni son endroit ni pourquoi elle ne s'ouvre pas.

je proposerais donc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
switch($_SESSION['droit_util']) {
   case "admin": 
      include("menu_admin.php");
   break;
   case "util": 
      include("menu_util.php");
   break
   default: 
   # include d'une page d'erreur ni trop stupide, ni trop explicite, mais assez pertinente pour donner envie à un potentiel hacker de chercher du mauvais coté
}