Comment protéger l'arborescence de son site

Bonjour,

Ma configuration :
- Un formulaire html pour s'identifier.
- un script de contrôle d'identification et d'ouverture de sessions avec les droits utilisateurs qui y sont associés. Cela fonctionne mais n'est pas aussi sécurisé que je le souhaiterais.

j'ai créé un dossier par droit accès. Le premier utilisateur 'admin' qui se logge sur l'espace est redirigé vers le dossier /adminv1/index.htm
le second user vers /adminv2/index.htm
Le problème est que si je tape l'url /adminv1/index.htm en étant loggé sur adminv2, je peux afficher le contenu ?!

je ne veux pas que mes utilisateurs puissent se balader d'un espace à un autre sans avoir les droits. Comment protéger cet espace ?

Merci de bien vouloir me donner un coup de pouce car là je sèche...

un htaccess avec un htpassword non ??
Si tu veux vérifier cela sous PHP, tes pages doivent être en PHP.
S.

Bonjour,

Aurais-tu un modèle de htaccess + htpassword ? Car j'avais essayé une fois mais ça m'a bloqué tout le contenu

Cordialement,

Abdou74100

merci de me répondre syndrael mais un htaccess avec un htpassword vont me demander un mot de passe lorsque je voudrais accéder à l'espace sécurisé ? non ?
Cependant, j'ai déjà une page d'identification qui va chercher les infos dans une base de données.

Y a t'il moyen de paramétrer les htaccess et htpassword pour que ceux ci empèchent simplement d'accéder à une page en tapant l'url en manuel.
Par contre s'il s'agit d'une redirection, c'est que l'utilisateur à les droits donc pas de mot de passe htpassword à saisir... Est ce possible comme ça ?

Bonjour,

peut etre, en ajoutant un groupe à tes utilisateurs, dans ta table utilisateur un champ groupe_users qui va définir quelle groupe cet utilisateur appartient
aprés c'est juste un test en ouverture de page, s'il a le droit et qu'il fait partie du bon groupe, alors il peut voir la page, sinon redirection (vers la page de login, une page d'erreur, ...)

bonne journée

J'ai déjà un champ "droit" qui me permet de définir un accès restraint à certain membre, j'arrive à les orienter selon leurs droits par contre, je n'arrive pas à conserver en mémoire la variable de "droit" pour faire un controle sur toutes les pages.

C'est bien ce que tu veux dire. Sur chaque page de l'espace sécurisé je dois faire un controle d'identification ets'il n'a pas les droits nécessaires, je le redirige vers la page de login.

Comment récupérer mes variables de session sur chaque page de l'espace sécurisé ??

Merci

re,

oui anthony428, un petit tour vers les sessions
page de login, si l'identification est bonne, login + droit en session et a chaque page après vérification si la session existe et si elle existe vérifier que les droits correspondent bien à la visualisation de la page en cours

il doit y avoir plein d'exemples sur phpcs à ce sujet

bonne journée

Oui je suis d'accord, sauf qu'il veut accéder à des pages HTML !! Donc à moins de modifier son Web server pour interpréter les pages .html, il veut sécuriser du contenu statique. non ? Ai-je faux ?
S.

Merci de m'apporter des éléments de réponse.
j'ai modifier ma structure pour ne passer que par des fichiers php, cela me semble plus simple.

Du coup, je vais opter pour la solution de thierry la fronde en me connectant à la base de données sur chaque page et en vérifiant les droits avec l'identifiant du User que je transmettrai de page en page.