Bonjour,
 
Alors je cherche à faire un accès sécurisé à des pages d'administration (je sais, je suis original). Je n'utilise qu'un mot de passe comme vérification encodé en sha256 et inscrit dans mon fichier php. Lorsque le mot de passe est bon, je veux être en mesure d'accéder à ma page. Je pensais utiliser des sessions et changer une variable du type $_SESSION['admin'] à 1 mais on m'a dit que ce n'était pas sécuritaire (?).  
 
Quelle est la meilleure manière de restreindre des accès à des pages. Si vous avez des liens récents (la sécurité en php ça change souvent) ou des conseils, je suis preneur  !
 
Merci,
Oliparcol

Euh sisi, session = très bien Qui t'a dit ça ?

il m'avait dit qu'on pouvait changer les variables sessions à distance via l'url... m'enfin moi ça me semble étrange. justement je pensais que la solution avec une session et d'accorder des droits à cette session en fonction du mdp entré me semblait plutôt sécuritaire

je sais pas qui t'as dit çà mais c'est faux
les données de sessions sont stockées sur le serveur
Le seul risque est que quelqu'un s'approprie le SESS ID d'une autre personne. Mais impossible de modifier les données.

okay c'est bien ce qui me semblait
merci beaucoup !

on t'as par contre peut-être parlé de SQL infection et que dans certains cas, on pouvait se logguer Admin.

la faille relative au sessions serait que qq'un te la vole
( récupère la valeur cookie de session, l'exploite pour être sur ta session )
ceci se fait par le biais d'un js ..
certains systèmes placent la session avec un token sur une table sql : 1 ip 1 session 1 token, sinon destruction de cette dernière
 
Tu rajoutes une couche Authentification Apache, SSL et le tour est joué

SQL infection, c'est boooooooo

J'suis assez d'accord : le SQL ça pue un max, une vraie infection.

arf, un f à la place d'un j Je voulais bien entendu parler de SQL injection.

SQL Infection....
Je up rien que pour sa...
GOTO BASHFR !!