empecher id aleatoire

**fahdo** · 15/08/2010, 22h00

Bonsoir,

j'ai une page sur laquelle j'affiche via une requête sql des entrées que je peux sois valider, modifier, ou supprimer en fonction de leur statu. (qui sont en attentes de traitement)
elles se trouvent dans la même table que les données traité.

l'adresse se présente sous cette forme

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

index.php?page=regie

je récupéré l'id et je redirige vers la page de modification

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

index.php?page=modif&id=577

Comment empêcher que quelqu'un ne rentre un id au hasard et ainsi puisse modifier ou supprimer n'importe quelles données.

en fait restreindre l'exécution au entrée listée dans la requête ou ayant une certaine value.

Merci

**sabotage** · 15/08/2010, 22h03

en fait restreindre l'exécution au entrée listée dans la requête ou ayant une certaine value.

Tu veux que n'importe qui puisse faire la modification du moment que l'id est valide ?

**Madfrix** · 15/08/2010, 22h10

Faire éventuellement un système d'authentification par apache comme http://php.net/manual/fr/features.http-auth.php

**fahdo** · 15/08/2010, 22h24

@Madfrix : Les utilisateurs sont déjà authentifiés, (c'est un intranet)

@sabotage : je veux pouvoir modifier que les enregistrements listés dans la requête qui ont tous pour valeur "impressions en attentes".

par précaution je ne vaudrai pas que les autres entrées qui ont une autre valeur "impressions, abonnement" et qui sont dans la même table puisse être modifier ou supprimer par les fonctions offerte de cette page.

J'espère avoir été plus clair

Merci

**sabotage** · 15/08/2010, 22h26

Ajoute cette restriction dans le WHERE de ta requête d'UPDATE .

**fahdo** · 15/08/2010, 22h59

Ok j'ai rajouté la restriction, au moins ca ne touche pas aux entrées n'ayant pas la valeur 'Impressions en attente".

le must serai d'interdire l'accès au page de modification s'il ne sont pas passé par la page qui liste ou s'il ne sont pas listé, c'est peut être ce que tu me demandais avant ?

**Madfrix** · 15/08/2010, 23h06

tu peux toujours mettre en place un champs url dans ta session ($_SESSION['url']) qui s'update à chaque nouvelle page visitée te permettant ainsi de savoir si l'utilisateur provient bien de la page qui "liste".

$_SESSION['HTTP_REFERER'] le fait mais manque de fiabilité

**sabotage** · 15/08/2010, 23h10

Non ca ne serait pas le must : on pourrait aller sur la page puis appeller un id non valide ; il faut donc les deux sécurités.

Tu peux placer un jeton en session quand on accède a la liste

Code :

Sélectionner tout - Visualiser dans une fenêtre à part