Très bien, donc lors du login, tu dois forcément rechercher la ligne du membre dans la table membre pour contrôler le mot de passe et donc ce que tu dois faire, c'est récupérer son id à ce moment là et le stocker dans la session. Ainsi lorsque tu as besoin de l'id du membre il te suffit de le récupérer dans la session et l'id ne transite jamais dans les requêtes http. Impossible pour l'utilisateur de modifier l'id.

Après une session peut être volée mais c'est pas à la porté de n'importe qui. Le HTTPS reste la meilleur protection contre ce type d'attaque. Dans ce cas, seul un man on the middle pourra voler la session à condition d'être présent dès le premier échange entre le client et le serveur. Dans le cas contraire il ne sera pas capable de décrypter à la volée les données échangées. Sinon à part en piratant directement le terminal du visiteur le pirate ne peut plus faire grand chose. Le vole de session pouvait être relativement simple il y a quelques années quand on passait l'id de session dans l'url mais aujourd'hui les serveurs sont bien configurés pour éviter ce genre d'attaque.

Ensuite il ne te reste plus qu'à gérer les attaque XSS et CSRF.
Il y a aussi les injections SQL mais si tu prépares bien les requêtes tu n'as normalement pas à t'en inquiéter.
En fait le principe est de toujours appliquer les règles de sécurité avec les données fournies par le client.

oui c'est exactement ca, je vérifié si la session est présente avec if empty $_SESSION

D'accord, sur le bout de code, il vient de $row['id_membre'] alors ce n'était pas évident. Cette page est donc destinée aux membres ? auquel cas le membre a du se connecter (saisie d'un login mot de passe) sur le site au préalable ?

Bah justement je récupérer l'info $identifiant_membre via un GET

Salut, je comprends pas vraiment ce que tu entends par "On récupere les informations du membre ayant publié le site à l'affichage".
En fait si c'est uniquement toi qui a accès à cette page alors il n'y a pas vraiment de souci de sécurité. Par contre si c'est une page à destination d'un membre alors tu ne dois surtout pas te fier à un id qui te serait transmis par post ou get car l'utilisateur peut alors facilement modifier l'id et fournir l'id d'un autre membre.

Salut tout le monde.
Voila je cherche à savoir si ma requete est sécurisé ou pas, pouvez vous me donnez des piste d'amélioration si il y en a svp, merci à tous

// On récupere les informations du membre ayant publié le site à l'affichage
    $identifiant_membre = $row['id_membre'];
	$membre_sql = $bdd->prepare("SELECT * FROM membres  WHERE id_membre=:id");
	$membre_sql->bindValue(':id', $identifiant_membre, PDO::PARAM_INT);
	$membre_sql->execute();
	$fetch = $membre_sql->fetch(PDO::FETCH_ASSOC);