Bonsoir,
J'ai réalisé un petit script pour comprendre les requêtes dynamiques.
Pourriez-vous me dire comment faire pour le sécuriser ? Si on change le id dans l'url, et qu'on en tape un qui n'existe pas, ma page s'affiche quand même.
Voici mon code :
<?php
include 'identification.php';
$user = $_GET['user'];
$connexion = mysql_connect($adresse_serveur, $identifiant, $password) or die("Impossible de se connecter : " . mysql_error());
mysql_select_db($nom_de_la_bd,$connexion) or die("Une erreur est survenue : " . mysql_error());
if ($user == ''){
$requete = "SELECT * FROM test_utilisateurs;";
$resultats = mysql_query($requete,$connexion) or die("Une erreur est survenue : " . mysql_error());
while ($ligne = mysql_fetch_array($resultats))
{
echo '
<p>Nom : '.$ligne["nom"].'</p>
<p>Prénom : '.$ligne["prenom"].'</p>
<p><a href="'.$_SERVER['PHP_SELF'].'?user='.$ligne["no_id"].'">Accèder à la fiche détaillée</a></p><hr />
';
}
}
else if($user == $_GET['user']){
$requete = "SELECT * FROM test_utilisateurs WHERE no_id = '".$user."'";
$resultats = mysql_query($requete,$connexion) or die("Une erreur est survenue : " . mysql_error());
#liste les infos pour un utilisateur
while ($ligne = mysql_fetch_array($resultats))
{
echo '
<p>Nom : '.$ligne["nom"].'</p>
<p>Prénom : '.$ligne["prenom"].'</p>
<p>Courriel : '.$ligne["courriel"].'</p>
<p>Mot de passe : '.$ligne["mdp"].'</p>
';
}
echo'<p><a href="afficher.php">Retour</a><p>';
}
mysql_close($connexion);
?>
Merci de bien vouloir m'aider.
Kat.
