Salut!!

Le MD5 est nickel. On a placé, puis enlevé le grain de sel qui était visible dans la table: le risque était que si un pirate accédait à la table, en voyant le grain de sel, il pouvait retrouver le mot de passe: en même temps, s'il a les accès à la base, qu'est-ce qui l'aurait besoin des accès aux formulaires... :roll:

Merci pour tout!

Ou plutôt que d'encrypter, tu peux hacher avec un grain de sel qui t'appartient.

C'est toujours mieux de pouvoir lister les ID qui sont appelés ;)

Salut,

Je pense qu'il y a pas mal de solution...

Ce que tu peux faire c'est utiliser la fonction md5().La fonction existe en PHP et en mySQL.

tu passes le md5 de ton num-fiche en paramètre et tu recherches en sql :

[code]
$sql=" SELECT * FROM maTable WHERE MD5(IdMaFiche) = '".$_GET['num-fiche']."'";

[/code]

++

Le plus simple est sans doute d'utiliser les variables de session
qui, après identification de l'internaute, ne lui donneront accès qu'à sa fiche.

La méthode POST est certes plus discrète que la méthode GET,
mais elle ne garantit pas la sécurité des accès et/ou des informations,
car elle est assez facilement contournable.

Bonjour à tous!

Nous sommes actuellement sur la partie sécurité de l'administration de notre site.
Lorsqu'une personne veut mettre à jour sa page perso, elle accède à un formulaire avec une url de type:
http://www.monsite.com/client-modification-fiche.php?num-fiche=45
L'accès à cette fiche est limité par une restriction, qui vérifie le nom d'utilisateur. Cependant, si seulement les clients enregistrés sont autorisés à voir ce type de page, ils peuvent voir et modifier les pages des autres clients en modifiant le nombre présent à la fin de l'url.

- Comment passer le lien par une autre méthode que la méthode GET? (POST?)
- Ou comment cacher une partie de l'url (numéro de fiche)?
- Sinon, comment restreindre l'accès à une catégorie d'utilisateurs en vérifiant en plus que le login et mot de passe correspondent bien à l'id client?

Merci d'avance pour tous vos conseils!!