bonjour,
j'aurais besoin de votre avis eclairé...
sur mon site, j'ai un index unique (pages de type index.php?pid=..=) associé à une fonction link.inc.php
certaines pages de mon site ne sont accessibles que quand la session est ouverte, d'autres sont publiques
dans tous les cas, que la page soit reservée aux utilisateurs enregistrés ou pas, je dois verifier l'état de la session pour afficher en entete, soit un petit espace d'authentification si la session n'est pas ouverte, soit le statut ("Bonjour Monsieur XX XX) si la session est enregistrée.
j'ai donc mis en debut d'index include $verifsession qui est verifié par la fonction link.inc.php, permettant ainsi d'avoir deux types de verifiation de session suivant si la page est publique ou privée.
$verifsession est parametrer dans "link.inc.php" selon la pid appelé:
<code>
case 101 : (//page publique)
$corps = "includes/public.php";
$verifsession= "function/verif.session.php";
break;
case 102 : (//page privée)
$corps = "include/form_recherche.php";
$verifsession= "function/verif.session.secure.php";
break;
</code>
"verif.session.php" verifie simplement la session pour savoir si il faut afficher l'espace de connexion ou le nom du connecté
"verif.session.secure.php" verifie en plus si l'utilisateur est connecté pour le rediriger si il ne l'est pas.
ca fonctionne très bien, mais j'ai quand meme un petit souci:
en faisant, "index.php?pid=101" ou "index.php?pid=102" ca marche très bien, mais si l'utilisateur venait à taper à la place le vrai nom de page cad "include/form_recherche.php" (je vois pas comment il peut le savoir mais bon...) ca n'appelle plus "verif.session.secure.php" et affiche donc la page, d'où le pblm de sécurité...
qq'un aurait-il une idée pour palier à cette faille?
merci.