Sujet Précédent Sujet Suivant

Avis sur la gestion des mises à jour ...

Résolu/Fermé
nico_73 Messages postés 161 Date d'inscription mercredi 10 juin 2009 Statut Membre Dernière intervention 28 mai 2010 - 22 mars 2010 à 18:48
nico_73 Messages postés 161 Date d'inscription mercredi 10 juin 2009 Statut Membre Dernière intervention 28 mai 2010 - 22 mars 2010 à 19:45
Bonjour,

Je souhaiterais avoir votre avis sur la gestion des mises à jour d'un formulaire d'information sur un membre déjà connecté.

Actuellement, je fonctionne de la façon suivante :

J'ai un formulaire avec un champ hidden ou je mets l'id de l'utilisateur. Sachant que cet id est remplis que si l'utilisateur est connecté (biensur).

Pensez-vous que cela peu poser un problème au niveau de la sécurité ?

Ou autrement, du faite que l'id soit aussi présent dans la session, je peux (dois) uniquement prendre celui-ci pour effectuer les opération de mise à jour ?

Merci d'avance de vos conseils.
Bien cordialement.
A voir également:

3 réponses

Réponse 1 / 3
avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024 4 497
22 mars 2010 à 18:56
Tout ce qui est côté client est modifiable.
Sous Firefox, l'extension Firebug facilite les modifications.
Et sous Chrome, on peut utiliser l'outils pour les développeurs (Ctrl+Maj+J)

Ensuite ça dépends comment tu gères la modification du membre.
Tu peux le faire via une page qui contient son ID par GET, ce qui permettrait aussi à un administrateur de modifier le compte.
Ou bien une page "compte.php" qui change selon l'id dans la session.
1
nico_73 Messages postés 161 Date d'inscription mercredi 10 juin 2009 Statut Membre Dernière intervention 28 mai 2010
22 mars 2010 à 19:02
Oui je viens d'essayer sous FF, Effectivement on peut modifier les champs comme on peut.

Je pense qu'utiliser les sessions se sera mieux.

Par contre c'est pas possible de modifier les session avec FF ou autre ?

Merci pour cette réponse
0
Réponse 2 / 3
avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024 4 497
22 mars 2010 à 19:15
Les données des sessions sont stockées sur le serveur.
Il n'y a que l'ID de la sesssion (PHPSESSID, à ne pas confondre avec l'id du mmebre) qui est stockée dans un cookie.
Modifier le cookie ne sert à rien si tu ne connais pas l'ID d'une autre session.
0
nico_73 Messages postés 161 Date d'inscription mercredi 10 juin 2009 Statut Membre Dernière intervention 28 mai 2010
22 mars 2010 à 19:22
En faite je parlais de l'id utilisateur ;)
0
avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024 4 497
22 mars 2010 à 19:40
"Techniquement" c'est possible en modifiant le cookie et en mettant le PHPSESSID d'un autre membre.
Mais comme tu ne peux pas savoir cet ID ? c'est impossible.
0
Réponse 3 / 3
nico_73 Messages postés 161 Date d'inscription mercredi 10 juin 2009 Statut Membre Dernière intervention 28 mai 2010
22 mars 2010 à 19:45
Merci ça me rassure.

D'ailleurs ca me fait penser au vol d'identité et qu'il faut que je vérifie a chaque page si l'utilisateur de la session actuelle est bien le même que ce lui de la page précédente.

Merci pour ton aide avion-f16
0

Discussions similaires

Mise à jour impossible à terminer
jeannets -
Salv -

27 réponses
Table des matières dont les titres n'apparaissent pas..
Synua -
ggg -

10 réponses
Freebox:Erreur impossible de récupérer la liste des mises à jour
Nono2412 -
Nono2412 -

2 réponses
mise à jour boitier X96 mini
Brunoche -
Vico -

3 réponses