Login poco eficiente

Hola amigos. Tengo un problema que ronda mi cabeza.
He creado un sistema de autentificación, que consiste en buscar login y pass en una BD y si coinciden que te cree una variable de sesión con el parámetro = a True.

Si el login es correcto, te da acceso a la parte privada de la web, pero el problema es que si uno es avispado, y empieza a escribir urls pues le mete en las partes privadas.

http://web.com/index.php?sec=6
http://web.com/index.php?sec=7
http://web.com/index.php?sec=8
etc.

Como toda mi web se carga en un switch principal, pensé en bloquearlo ahí mismo poniéndole una condición if (como puse en las urls de ejemplo anteriores), pero también se puede acceder presidiendo del switch (como muestro a continuacion).

http://web.com/productos.php
http://web.com/carrito.php
etc.

Tengo que poner un control (un if que compruebe la variable de sesión) en cada una de las paginas privadas??? O hay alguna otra forma??. Gracias!!

si utilizas sessiones puedes poner algo asi:

en el ejemplo te he puesto un include por que es lo que uso yo para incluir una pagina de error , por que dentro del echo" " no podia meter codigo php, auque no es necesario si solo quieres mostrar un texto como en el codigo que te he puesto:

echo "<b>no estas conectado no puedes ver esta pagina</b>";

saludos

No consigo hacerlo funcionar :( en vez del include he puesto un

header("Location: index.php?seccion=1&inicio");

para qye me redirija a la pag principal, el caso es que aunque haya una variable de sesion siempre me envia a la pag de inicio como si no estuviera logueado cuando si lo estoy :(

¿alguna idea?

exactamente como te explico waty90...

tal vez no puedas usar 'header' porque ya has imprimido algo en la pagina, en ese caso tendrias que usar javascript o html...

fijate que waty90 hizo esto..

Me imagino que cambiaste la parte de ['SESS_USUARIO'] por como lo guardas vos en tus sesiones, cierto?

sisi, claro que lo cambio.

Cierto es que yo el session_start(); lo hago en el fichero index y com o utilizo includes ya no necesito ponerlo en los demás. Imagino que eso no será un problema no? :S

Si accesan directo por la pagina, necesitas a fuerzas tener la sesión ahí, si no quieres que accesen directo puedes usar algo así dentro de cada pagina:

y desde tu index.php haces un:

Así solo si entran por el index.php pueden entrar a las otras paginas.

Saludos.

el define true, tengo que ponerlo cuando haga la autentificacion correctamente??, esque no acabo de entenderlo :S ¿donde guardo la variable de sesion?

y... lo lógico seria que lo pusieras una vez que el usuario ya se autentifico, cuandas estas guardando las sesiones y eso.... que caso tendria ponerlo antes? estarias en lo mismo practicamente.

El define es solamente para evitar que corran el script de forma directa accesando por URL.

Lo del login lo tienes que manejar con sesiones como ya te indicaron.

Saludos.

la validación va muy bien, he echo una funcion de v alidacion y la llamo devolviendo true o false, el unico problema es que si quiero redireccionar a una página cuando el login es INCORRECTO, se lo pasa por el forro...

Tengo que poner en cada fichero:

Sabeis como puedo poner el header en la funcion para que funcione bieN??. GRACIAS!!!

puedes implementar lo que ha escrito GatorV, para no permitir el acceso a tus secciones sino es desde el index.
y bueno ,si quieres redirrecionar a una pagina ,si el usuario no esta conectado yo usaria javascipt :

saludos