>Question subsidiaire : pourquoi trimballer en session son login et son password une fois ceux-ci vérifiés et >validés ? Chaque ressource est susceptible de refaire cette vérification / validation pour déterminer les >droits correspondants ? Ca signifie que chaque script du site doit contenir du code qui vérifie si le couple >user/pass fourni est présent dans une liste de user/pass autorisés ?
Le fait de garder le login en session permet justement de se passer de la vérification du couple "login/pwd" sur chaque script du site et uniquement vérifier la présence du login.
Pour résumé
- sur la page de login : vérification du couple "login/pass", si ok on enregistre le login en session
- sur les autres pages : vérification uniquement de la présence du login en session donc connecté
Garder quelques informations en session permet d'y accèder plus rapidement par la suite et c'est non négligeable.
Ex :
echo "Salut ".$_SESSION['login'];
MàJ suite à ton 2ème mail :
Totalement d'accord avec toi : pour la modification des données par les utilisateurs, il faut passer par une base de donnée ou un système modifiable par n'importe quel utilisateur (BDD, cache, JSON, XML,....).
Après si Daniel veux faire les mises à jour manuellement (sans interface front-end), il peut très bien mettre à jour son array directement.