Bonjour,
 
Petite questions de sécurité :
 
Je dispose d'un site avec authentification (deux types d'utilisateurs différents).
Ainsi selon le type d'utilisateur connecté, je veux lui afficher un menu spécifique.
 
pour cela lorsqu'il se connecte, je lui ouvre une session et lui attribut ses droits (par exemple $_SESSION['droit_util'] = admin ou util...)
Ensuite lorsque j'ouvre la page je fais récupéré la valeur de session et je compare :
 

 
Mes questions :
1 - Faire des "include" avec des variables de sessions est il sécurisé ? si ce n'est pas sécurisé que me proposez vous ?
2 - D'un point de vue sécurité, les variables de session sont ils bien protégés ?
 
Merci pour vos réponses
 
Maxime
 
 
 

1- oui , du momenque tu controles bien le contenu de $_SESSION['droit_util'] ( tu sais ou et par quoi c'est modifié)
2-oui . la faille est plutôt au moment ou tu change la valeur de ses variable. Si l'utilisateur peut agir sur les scripts qui mettent a jour les variables de session, tu as un risque.

Merci pour votre réponse.
 
Comment un utilisateur peut il agir sur les scripts ?
 
J'essaye de me documenter un maximum sur les failles des sites internet, auriez vous des sites ou des explications ou tout autres choses pouvant me servir pour protéger un site Internet ?
 
Merci

faut juste que tu vérifies DANS menu_admin.php que ta session est bien celle de l'admin ...
 
après, au niveau failles, tout ce qui vient de l'utilisateur est une faille potentielle (c.à.d. pas forcément sûre) :
- le user agent
- l'adresse ip
- le fichier téléchargé
- le contenu de $_POST
- le contenu de $_GET
- ...
 
bref, tout ce qui fait que ton utilisateur ne fait pas que lire une page, mais interagir avec elle ...

 
Si je vérifie et que ce n'est pas bon, comment faire pour faire un include du menu_util vu que l'on se trouve déjà dans le menu_admin.
 
 

ah oui !!!
 
menu_admin.php