#14 Sécurité - Absence de contrôle des urls par rapport au rôle de l'utilisateur connecté

[Annie Baraban]

Les actions spécifiques aux rôles étudiant, professeur et administrateur peuvent être appelées directement par l'url et ne vont pas être contrôlées par rapport au rôle de l'utilisateur connecté.
Par exemple, après s'être connecté avec un compte élève, si on saisit l'adresse index.php?action=mpasse, alors on se voit proposer, par promotion, la liste des comptes et mots de passe.