Ah bon, alors la fonction Header marche bien comme je pensais, donc pas besoin du exit(); =) J'suis rassuré, m'enfin j'aurais pu zapper une MAJ.
Donc, j'ai rajouté un champs HIDDEN dans le formulaire.
Et j'ai fais un test entre le Champs Hidden et la valeur de la variable dans la session.
Si elles diffèrent : BOOM
Donc, j'ai rajouté un champs HIDDEN dans le formulaire.
Et j'ai fais un test entre le Champs Hidden et la valeur de la variable dans la session.
Si elles diffèrent : BOOM
Code PHP :
<?php
$Acteur = htmlspecialchars($_POST['P_Id'],ENT_QUOTES);
$Batiment = new batiment($DB,$BoutiqueId);
//on vérifie que c'est bien le personnage qui poste qui agit
if($Acteur != $PJ->PjId)
{
exit("Usurpation d'ID");
}
Maintenant, je sais que c'n'est peut être pas la meilleure façon de procéder. A priori, il est possible de modifier la valeur d'une variable postée (même hidden)... Donc je suppose qu'un joueur connaissant les ID de son perso et avec un logiciel adapté pourra contourner le truc... (enfin on m'a dit ça... j'ai jamais vraiment trouvé comment faire xD)
M'enfin, pour les 99% des joueurs qui essayent de jouer "normalement"... ça devrait le faire.
J'vais pas m'amuser à crypter l'ID de l'user avec un algo de mon cru quand même avec un cryptosystème, ça va devenir chiant xD
Bon ben si on part du principe que le problème est résolu, je vous remercie à tous pour vos interventions et pistes. J'vais repasser plus souvent par ici.