salut à tous,
j'ai une section admin sur mon site.
Je l'ai protégé avec httaccess, c'est deja ça   .
Le problème, c'est que pour l'instant, il suffit de taper l'url d'une de mes pages administration et on peut y entrer sans pour autant être connecté.
Quelle est la meilleur solution pour y remedier ?
Pour l'instant j'ai fait un script qui test si il y a bien un pseudo et un mot de passe dans la session.
   Si il n'y en a pas, je redirige vers une page "Vous n'êtes pas connecté".
   Si il y a bien un pseudo et un mot de passe, je fais quand même une requete pour verifier que ce pseudo est bien dans la base, et que le mot de passe corespond bien.
   Et biensur si cette requete me dit qu'il y a un problème je redirige vers un page "Non mais tu te fou de moi tu fais une tentative d'intrusion ?!".
Voila, ce script à pour vocation d'être inclu en début de toutes mes pages d'administration.
 
Voila, merci de me dir si je suis sur la bonne piste ou si il y a plus simple...
...Et si je suis sur la bonne piste, merci de me dir pourquoi ces redirections ne marchent PAS    (cannot modify header information), et comment y remedier.

Première chose : on ne stocke jamais un mot de passe en $_SESSION. Le credential consiste à avoir le username enregistré en session une fois que l'identification s'est bien passée.  
 
Ensuite je comprends pas ton problème. Si tu protèges (avec succès) un répertoire avec .htaccess, normalement tous les sous-répertoires sont automatiquement protégés... Tu peux nous filer le code de ton .htaccess ? (devrait pas être monstrueusement long)

2eme chose :
pour qu'une redirection avec header fonctionne, il ne faut pas avoir de sortie html dans ton script, c'est a dire, pas de echo ni de balise html.

Pas *avant* le header plus exactement