SECURITE : pb pour tuer une session

le 22/12/2004 à 17:53

Bonjour

y a un truc que je ne pige pas ...

Je me logue avec un login/mot de passe sur mon appli quand je quitte mon appli je supprime la session,jusque la ca va.
Pendant la navigation sur mon appli je copie l'URL d'une page au hasard .
Je mets cette url dans l'adresse et je n'arrive plus a aller sur la page parce que sur chaque page je verifie si la $_SESSION['login'] n'est pas vide si elle est vide il me jette tout ca marche en local MAIS PLUS SUR LE SITE
ALORS QUE SI JE FAIS
ECHO $_SESSION['login'];(sur le site) c'est vide donc il devrait me jeter ben non il me laisse rentrer ???

Merci pour vos suggestions

Citer ce message

le 22/12/2004 à 18:32

Lefounard

c ki ton hebergeur ?

I am singing in the rain , I am happy again !!

Citer ce message

le 22/12/2004 à 18:49

Bzh

Ca dépend des coockies !!!

Lorsque tes en local ton navigateur ne gère pas de la même manière les coockies !!!

Enfin moi je ne vois que cette solution !!!

Tu n' a qu'a essayer ça: Tu vas sur ton site hébergé chez ton hébergeur, tu te connecte, puis tu test en copiant ton adresse et en retournant sur ton site tt marche nikel t' es accepté. Bon maitenant, tu supprimes les coockies de ton navigateur et tu retourne sur la page sans te logger et là ??? Et bin tes redirigé comme voulu...

C' est tout simplement les coockies... (enfin pour moi...)

Citer ce message

le 22/12/2004 à 18:51

Bzh

Ha non je me plantes... J' avais pas bien lu ton post...

Tu di que tu supprime ta session !!!

Bon, bin ça peut pas venir de là...

Et bin ch' ai pas... Je peux t' aider...

Arf...

Citer ce message

le 22/12/2004 à 20:07

moogli

lu,

La_globule m'a dis un jour :) que la session pouvais mettre du temps a mourir c'est p'tet pour sa !

si non j'ai trouver sa sur net pour détruire 'efficacement une session' :

<?php

if  (isset($_COOKIE[session_name()])) {

    setcookie (session_name(),'',time()-42000,'/');

    /* On redefinit ule cookie de session avec une limit qui est expirer depuis 42000 seconde il va donc être supprimer car la validité est expirer */

}

session_destroy();

?>

vala ..

Il en faut peu pour être heureux !!!!!

Citer ce message

le 22/12/2004 à 20:36

antoine

Merci pour vos reponses je vais tester demain le p'tit script de Moogli bien que ...quand je quitte mon appli je detruis la session et quand je lance ma page dont j'ai sauvé l'adresse le echo S_SESSION['login'] ne me retourne rien (donc vide) et de ce fait ne devrait pas me laisser aller sur la page...(en local ca marche)
c'est un include"verifie.php"; en debut de chaque page
ca peut-il jouer ?
Merci

Citer ce message

le 22/12/2004 à 20:53

LA GLOBULE

Quand tu quittes ton appli, tu clic bien sur un bouton "déconnexion" qui tue la session en cours ?

Si oui, alors, ce n'est pas normal.
Sinon, ben faut penser à faire ce bouton :)

Citer ce message

le 22/12/2004 à 21:15

antoine

Oui je clique sur un bouton qui me renvoie sur une page logout.php ou je kill les sessions...
il me vide le contenu et pourtant je peux retourner sur la page directement apres

voici mon fichier logout..

<?php
// On démarre la session
session_start ();

// On détruit les variables de notre session
session_unset ();

// On détruit notre session
session_destroy ();

// On redirige vers la page d'accueil
header ('location: login.php');

// on ferme la connexion à la base
mysql_close();

?>

voici mon fichier qui verifie chaque page
(include en debut de chaque page)

<?php
session_start();
if(empty($_SESSION['login'])) {
header("Location: message2.php");
}
?>

Ca marche bien en local tout ca...et sur site on dirait qu'il ne lit pas le include("verifie.php")
donc il ne protege rien....

Citer ce message

le 22/12/2004 à 21:41

bibi

vive le bbcode

commit suicide

Citer ce message

le 22/12/2004 à 22:01

LA GLOBULE

Comment tu verifies ta variable login ?

Montre nous ton code (en utilisant le bb-code

)