j’ai reprise le script de l’espace membre qui je trouve est très bien hors il y a une faille de sécurité en rentrant le nom d’utilisateur, avec un mdp aléatoire la session s’ouvre quand on tape l’url dans le navigateur, je cherche comme y remédié mais ne trouves pas ! merci
En haut de chaque page, ajoutez:
session_start();
Si l’utilisateur se connecte avec succès au espace administrateur, définissez une variable de session comme ceci :
$_SESSION['userAuthenticated'] = TRUE;
Si l’utilisateur clique sur le bouton de déconnexion, il fait ceci :
$_SESSION = array();
session_unset();
session_destroy();
Dans le fichier php.ini, Changez les paramètres suivants :
session.cookie_lifetime 0
session.gc_maxlifetime 900
Maintenant, la session resterait active pendant 15 minutes et serait détruite si l’utilisateur quittait complètement le navigateur. Testez cela et tu peux quitter complètement le navigateur, l’ouvrir à nouveau et accéder à l’une des pages qui devraient nécessiter une connexion.
N’oublier pas, vous devez vérifier si l’utilisateur est déjà authentifié avec ce code:
if (!isset($_SESSION['userAuthenticated']) and $_SESSION['userAuthenticated'] !== TRUE) {
header('Location: index.php');
die;
}
Les sessions en PHP fonctionnent avec une session de type Cookie, du côté du serveur, les informations de la session sont constamment effacées. Pour définir la durée de vie de la session, vous pouvez utiliser la fonction session_set_cookie_params avant session_start :
session_set_cookie_params(3600,"/"); //3600 sec (1 heure) OU 900 pendant 15 min
session_start();
Vous pouvez mettre 0 si vous ne voulez pas de session.
merci beaucoup pour vos retours.