Merci à tous pour vos réponses,
j'avais pensé à vérifier que les paramètres GET correspondent à quelque chose que le joueur peut faire mais ça me semble difficile dans certains cas, et je préférerais empêcher toute action qui passerait directement par les modules en forçant le joueur à utiliser le système que j'ai prévu.
Vous pensez qu'il est possible (avec des variables de session ?) de s'assurer que le joueur vient de passer par module.php avant d'ouvrir profil.module.php ? Ça l'empêcherait d'ouvrir directement les fichiers exécutant des actions.
My Hotel : ça me semble très intéressant, tu peux détailler un peu ?
Edit : j'ai réfléchi un peu, il est évident que je suis dans tous les cas obligé de vérifier en PHP que le joueur a le droit de réaliser l'action.
Par contre pour l'empêcher d'ouvrir directement le fichier, j'ai pensé au système suivant :
module.php génère une chaîne aléatoire et la crypte avec une clé, on obtient donc un code. La clé et la chaîne de départ sont stockées en sessions.
L'appel de profil.module.php précise en GET le code obtenu. On utilise la clé (passée en session) pour décrypter le code et on vérifie si le résultat correspond bien à la chaîne de départ (passée en session aussi).
Ça semble empêcher une ouverture directe de profil.module.php, je me trompe ou ça vous semble sûr ? Je ne suis pas un pro de la sécurité des sessions.
j'avais pensé à vérifier que les paramètres GET correspondent à quelque chose que le joueur peut faire mais ça me semble difficile dans certains cas, et je préférerais empêcher toute action qui passerait directement par les modules en forçant le joueur à utiliser le système que j'ai prévu.
Vous pensez qu'il est possible (avec des variables de session ?) de s'assurer que le joueur vient de passer par module.php avant d'ouvrir profil.module.php ? Ça l'empêcherait d'ouvrir directement les fichiers exécutant des actions.
My Hotel : ça me semble très intéressant, tu peux détailler un peu ?
Edit : j'ai réfléchi un peu, il est évident que je suis dans tous les cas obligé de vérifier en PHP que le joueur a le droit de réaliser l'action.
Par contre pour l'empêcher d'ouvrir directement le fichier, j'ai pensé au système suivant :
module.php génère une chaîne aléatoire et la crypte avec une clé, on obtient donc un code. La clé et la chaîne de départ sont stockées en sessions.
L'appel de profil.module.php précise en GET le code obtenu. On utilise la clé (passée en session) pour décrypter le code et on vérifie si le résultat correspond bien à la chaîne de départ (passée en session aussi).
Ça semble empêcher une ouverture directe de profil.module.php, je me trompe ou ça vous semble sûr ? Je ne suis pas un pro de la sécurité des sessions.