Sessions et identification
Sessions et identification - PHP - Programmation
Marsh Posté le 02-05-2008 à 11:32:48
Ca me semble correcte, ne stockes pas les mots de passes en clair même dans une variable de session c'est tout.
Je te conseille d'utiliser les cookies pour les sessions de ce genre, ca évite de passer la session_id dans l'url ou alors compile php avec enable-trans-sid.
La sécurité dependra plutot du stockage des mots de passe et de la vulnérabilité de ton site au injection SQL.
Marsh Posté le 02-05-2008 à 11:37:44
Merci pour ta réponse 
Non le mot de passe n'est stocké nul part, et le sid de la session n'est pas transmis en clair dans l'url. Je devrais donc supposer que c'est bon ?
Je vais chercher aussi pour enable-trans-sid. Merci encore
Marsh Posté le 02-05-2008 à 11:41:57
Si tu vois pas le sid dans tes liens et la barre d'adresse c'est que c'est bon
Marsh Posté le 02-05-2008 à 11:53:24
Au fait j'ai encore une question qui m'est passée par l'esprit, admettons qu'un type imagine par le plus grand des hasards ce que j'ai codé dans ma page et qu'il se crée une page où il initialise deux sessions :
$_SESSION['login'] = (un login déjà existant)
$_SESSION['acces'] = "admin"
Il pourra du coup avoir accès à toutes mes pages ?
Je me demande si à la limite je ne devrais pas mettre en place une vérification de l'url de provenance et crypter le contenu de la session "accès".
Sinon j'ai regardé un peu cette page-là :
http://wiki.mediabox.fr/tutoriaux/ [...] ssions-php
et tout en bas de la page il donne une méthode d'identification, cependant elle ne fait que vérifier si un login existe ! N'est-ce pas dangereux ??
Message édité par tostiere le 02-05-2008 à 11:53:43
Marsh Posté le 02-05-2008 à 12:18:49
Oui enfin il faut qu'il se crée ses sessions sur ton herbergement quand même, les sessions sont enregistrées sur ton serveur, le cookie ne sert qu'a stocker le session_id il me semble.
J'ai pas trop regardé le tuto mais a partir du moment que la variable de session n'est crée que si un login et passe est vérifié non c'est pas dangereux.
Message édité par masterpsx le 02-05-2008 à 12:19:52
Marsh Posté le 02-05-2008 à 12:23:55
Ok merci encore une fois pour ta réponse alors, je commence à y voir plus clair 
Sujets relatifs:
- Identification Apache
- [RESOLU]Sessions non transmise
- plusieurs sessions sur un nom de domaine
- Pop-up d'identification Windows lors d'une connection à la base
- protections des pages web en php avec les sessions
- problème avec les conditions IF et les sessions
- Cookies et sessions gestion différente sour IE et FF
- Sessions utilisateurs
- Probleme identification apres login
- Sessions et identification
Marsh Posté le 02-05-2008 à 10:55:40
Bonjour,
je pose ici une question dont je n'ai pas trouvé la réponse dans le forum.
En gros, je me demande si la solution que j'ai mise en place pour l'identification des administrateurs sur un site, est correcte :
On s'identifie, si le login et le mdp correspondent, alors je stocke le login dans une variable de session, et j'initialise une autre variable de session comme ceci :
$_SESSION['acces'] = "admin"
avant de rediriger l'admin sur la page principale d'administration.
Ensuite sur toutes les pages je vérifie si cette derniere session existe (et avec cette valeur là), si c'est le cas on autorise l'accès sinon on est redirigés à la page d'accueil.
Est-ce que cette solution est correcte ? Y a t-il des risques de sécurité ? Sinon auriez-vous un petit tuto à m'indiquer qui explique justement comment sécuriser l'accès au site avec les sessions ?
Merci