Bonjour,
Voici grosso-modo comment mon espace membre fonctionne actuellement:
Lorsqu'un utilisateur se connecte à son espace membre, je crée une variable $_SESSION['id'] contenant l'id de l'utilisateur,. Ensuite, sur chaque page qu'il visite, j'affiche un contenu qui lui est personnalisé si la variable $_SESSION['id'] existe en faisant différentes requetes SQL via cet id. Si la variable $_SESSION['id'] n'existe pas, c'est que le visiteur n'est pas connecté.
Ma question: est-ce qu'un méchant pirate pourrait modifier sa variable $_SESSION['id'] en y mettant l'id de l'administrateur du site par exemple, pour ainsi avoir accès à l'espace membre de l'admin et semer le chaos et la destruction sur mon site ?
Plus globalement, si vous avez de bons tutoriels accessibles à un débutant concernant la sécurité d'un site web, je suis fortement intéressé !
Merci (:
Big Ben Jr
