<?PHP
session_start();
require_once("constantes.php4");
require_once("initialisation.php4");	// connexion à la base
//___________________________________________________________________________________________________________
//
function login($username, $password) {
  
	$query = "SELECT * FROM t_admin WHERE login='".$username."' AND mdp = '".md5($password)."';";
	$result = mysql_query($query);
	
	if (!$result) return false;
	  
	if (mysql_num_rows($result)>0) {
		return true;
	} else { 
		return false;
	}
}
//___________________________________________________________________________________________________________
//
if ($login && $motdepasse)  {
	if (login($login, $motdepasse)) {
		// identifié
		$HTTP_SESSION_VARS['valid_user'] = TRUE;
		$HTTP_SESSION_VARS['login_user'] = $login;
		//
		if (!headers_sent()) {
    		header ("Location: " . $URL_SITE . "/scripts_php/administration.php4");
		}
	} else {
		// non identifié 
		?>
		<html>
		<body>
		Désolé, vous n'avez pas les droits suffisants pour accéder à cette page.
		</body>
		</html>
		<?
	}
	exit;
}
?>

Que pensez-vous de mon script ? Il est assez sécurisé ?
L'utilisation des sessions est bonne ?

Merci d'avance pour vos commentaires .....

@+

D'ou viennent $login, $motdepasse, quels traitements ont subis ces variables avant utilisation ?

Salut pjl,

elles proviennent d'un formulaire basique html (script simplifié) :

<form action="scripts_php/verif_user.php4" method="post">
<input type="text" name="login" maxlength="32">
<input type="password" name="motdepasse" maxlength="16">
<input type="submit" name="seconnecter" value="Se connecter">
</form>

@+

Je te conseille donc de lire ceci : http://www.phpfrance.com/forums/voir_sujet-37.php sur la facon de récupérer des valeurs d'un formulaire, de lire ce post, http://www.phpfrance.com/forums/voir_su ... ection.php , et de faire une recherche sur le sql-injection.

ok merci pjl

Je regarde ça de plus prêt...