kyotoo Posté 22 Mai 2007 Posté 22 Mai 2007 Bonjour, Je développe un site (original n'est-ce pas) avec une zone membre. Je me suis inspiré de ces deux tutoriaux pour créer ladite zone : http://www.olate.co.uk/articles/185 http://www.olate.co.uk/articles/232 Le mot de passe est chiffré avec un "salt", ce que je cherchais depuis un moment. Cependant, si vous allez au bout du 1er article, vous verrez qu'une suite était attendue, suite qui n'est jamais venue (gestion de groupes avec différentes permissions) Après avoir réfléchi 2 minutes, voici mon idée : Ajouter un champ "group" dans la table "user" Ajouter un champ "group" dans le formulaire d'enregistrement Stocker le "group" associé à l'utilisateur dans la session modifier la fonction "is_authed()" pour qu'elle retourne le "group" auquel appartient l'utilisateur Qu'en pensez-vous ? Merci d'avance.
theprogrammeur Posté 23 Mai 2007 Posté 23 Mai 2007 Pour protéger les zones d'admin, j'utilise les fichiers .htaccess. Je trouve que c'est plus pratique pour protéger les pages d'admin et ça ne demande pas de base MySQL.
Leonick Posté 24 Mai 2007 Posté 24 Mai 2007 Pour protéger les zones d'admin, j'utilise les fichiers .htaccess. Je trouve que c'est plus pratique pour protéger les pages d'admin et ça ne demande pas de base MySQL.et c'est plus sécurisé. Pas de possibilité de faire de l'injection SQL
kyotoo Posté 24 Mai 2007 Auteur Posté 24 Mai 2007 Je suis d'accord avec vous, l'admin dispose de scripts dédiés placés dans un répertoire dédié avec .htaccess + authentif php. Cependant ma question est la suivante : comment gérer différents droits au sein des membres ? Mettons que certains ont le droit de lire des news alors que d'autres ont le droit de lire des news + des articles.
Leonick Posté 24 Mai 2007 Posté 24 Mai 2007 En fait, ce que je fais, c'est un accès limité avec htaccess/htpassword et ensuite je récupère $_SERVER['REMOTE_USER'] et j'interroge ma bdd pour voir le niveau que j'ai permis à chaque utilisateur.
kyotoo Posté 24 Mai 2007 Auteur Posté 24 Mai 2007 Ok je suppose que ça revient au même avec les sessions : On récupère le nom de l'utilisateur (qui est unique), on regarde dans quel groupe il est inclus, on stocke le groupe dans la session et on le récupère à chaque fois que c'est nécessaire. Thanks
captain_torche Posté 24 Mai 2007 Posté 24 Mai 2007 Personnellement, je ne stocke pas grand chose en session (login et hash du mot de passe). Je préfère revérifier à chaque fois en base avant d'effectuer une opération.
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant