J'ai un site Web qui montre des informations à tous les utilisateurs, mais si vous êtes connecté, vous avez accès à plus d'informations et de pages, puis l'utilisateur non ouvert. Puis-je utiliser certaines variables de session et les inclure dans chacune des pages? Quelle est la meilleure façon de le faire.Verrouiller certaines pages et laisser d'autres ouvertes
En outre, quelle est la meilleure façon de rendre l'utilisateur rester connecté, en quelque sorte "Remember me" case à cocher. Enregistrer un cookie sur HDD?
Je ne voudrais pas l'enregistrer dans une session, de cette façon quelqu'un pourrait manipuler une session et juste changer cette variable pour obtenir plus de droits. Vous pouvez créer un champ de privilège dans votre DB utilisateur et un pour chaque page. De cette façon, vous serez en mesure de gérer chaque page pour chaque utilisateur et vous êtes en mesure de gérer des tonnes de privilèges d'utilisateur différents. Vous pourriez envisager d'utiliser des groupes d'utilisateurs, le principe serait le même. Il manque encore un peu de sécurité mais de mon point de vue un peu mieux. –
Vous supposez que l'utilisateur a accès aux variables de session - il ne le fait pas. Ce que l'attaquant malveillant peut faire est de changer le cookie qui pointe vers la session, pour détourner les paramètres de l'utilisateur. Il ne peut toujours pas accéder aux variables de session, autres que celles fournies par le concepteur de pages Web. – dar7yl