Voilou... J'ai créé un site essai de site Extranet pour ma boite : php,javascript,html,mysql etc...
 
Je suis parti novice quasi-total (juste html) et j'ai progressivement appris un peu à faire du php et du javascript.
Tout ça pour vous situer mon niveau de compétence...    
 
Bref, il est temps de le mettre définitivement sur un serveur (Via Networks pour ceux qui connaissent), ca il n'était juste ici que testé en local.
 
Je me retrouve maintenant confronté à des problématiques de sécurité.
J'ai pour le moment juste une gestion de logins + mots de passe grâce à une base mySQL et des cookies.
 
J'ai potassé un peu les divers sources sur le net, mais je m'y perds un peu (beaucoup) donc si vous pouviez me corriger au cas où.
 
- les fichiers .htaccess permettent de protéger des fichiers ou des répertoires en demandant des mots de passe et des logins.  
 
- j'aimerai que l'internaute ne puisse se connecter au site qu'après être identifié. Le coup des cookies définis en php ne me paraissant pas très sûrs, ne peut-on pas faire en sorte que le serveur lui-même les demande? Et que ces logins/pass soient répertoriés dans une base mySQL?
 
- on peut définir le(s) utilisateur(s) qui pourront jouer avec phpmyadmin (par ex) pour créer des tables, supprimer etc... Car pour le moment, je n'ai défini aucun droit particulier.
 
Merci...  

beuuup!

utilise les sessions, et pour chaque pasge, tu vérifie si la session est initialisée, sinon, c'est que la personne ne s'est pas connectée

On peut pas avoir une reconnaissance directement au niveau d'Apache?

pas vraiment dans Apache, mais je pense qu'avec un .htaccess ou dans les directives <Directory ".."> de httpd.conf, il y a moyen de faire passer un user du groupe par défaut à un groupe défini et dans ce cas, tu sais lui donner accès à certaines choses en plus.
 
 
sur mysql, tu sais définir quel utilisateur a accès à quelles tables et ce qu'il peut faire dessus (select, inster, delete, ...) et cela uniquement à partir de certaines machines ou d'un groupe de machine.