Les sessions php, comment ça marche ?

Dernière mise à jour le par pijaku .

Les sessions php, comment ça marche ?

Description

Depuis PHP4, on entend beaucoup parler de sessions. De nombreuses personnes utilisant PHP ignorent encore ce que c'est et à quoi elles servent. D'autres, en revanche, ne savent pas les utiliser à bon escient. Ce tutoriel est une approche à la fois théorique et pratique des sessions. Elles seront présentées au moyen d'un exemple simple tout au long de ce billet. Il s'agit d'un espace de site sécurisé par authentification.

Une session c'est quoi ?

Une session est un mécanisme technique permettant de sauvegarder temporairement sur le serveur des informations relatives à un internaute. Ce système a notamment été inventé pour palier au fait que le protocole HTTP agit en mode non connecté. A chaque ouverture de nouvelle session, l'internaute se voit attribuer un identifiant de session. Cet identifiant peut-être transmis soit en GET (PHPSESSID ajouté à la fin de l'url), POST ou Cookie (cookie sur poste client) selon la configuration du serveur. Les informations seront quant à elles transférées de page en page par le serveur et non par le client. Ainsi, la sécurité et l'intégrité des données s'en voient améliorées ainsi que leur disponibilité tout au long de la session. Une session peut contenir tout type de données : nombre,chaîne de caractères et même un tableau.

Contrairement à une base de données ou un système de fichiers, la session conserve les informations pendant quelques minutes. Cette durée dépend de la configuration du serveur mais est généralement fixée à 24 minutes par défaut. Le serveur crée des fichiers stockés dans un répertoire temporaire.

Parmi les utilisations les plus courantes des sessions, on trouve :

  • Les espaces membres et accès sécurisés avec authentification,
  • Gestion d'un caddie sur un site de vente en ligne,
  • Formulaires éclatés sur plusieurs pages,
  • Stockage d'informations relatives à la navigation de l'utilisateur (thème préféré, langues...).

La théorie, c'est bien beau mais en pratique comment ça se passe ? Le chapitre suivant explique l'initialisation et la restauration d'une session ouverte.

Initialisation (et restauration) d'une session

PHP introduit nativement une unique fonction permettant de démarrer ou de continuer une session. Il s'agit de session_start(). Cette fonction ne prend pas de paramètre et renvoie toujours true. Elle vérifie l'état de la session courante. Si elle est inexistante, alors le serveur la crée sinon elle la poursuit.

<?php
session_start();
?>

Dans le cas d'une utilisation des sessions avec les cookies, la fonction session_start() doit obligatoirement être appelée avant tout envoi au navigateur sous peine de voir afficher les fameuses erreurs :
"Cannot modify header information - headers already sent by ..." ou "Cannot send session cookie - headers already sent by ...". Cela est du au fait que PHP ne peut plus envoyer de cookie à l'utilisateur car il y a déjà eu une sortie au navigateur (echo(), print(), espace blanc, tag html...).

Note : il faut appeler session_start() sur chaque page utilisant le système de session.

Lecture et écriture d'une session

Le tableau $_SESSION

Lorsqu'une session est créée, elle est par défaut vide. Elle n'a donc aucun intérêt. Il faut donc lui attribuer des valeurs à sauvegarder temporairement. Pour cela, le langage PHP met en place le tableau superglobal $_SESSION. Le terme superglobal signifie que le tableau a une visibilité maximale dans les scripts. C'est à dire que l'on peut y faire référence de manière globale comme locale dans une fonction utilisateur sans avoir à le passer en paramètre. Le tableau $_SESSION peut-être indexé numériquement mais aussi associativement. En règle générale, on préfère la seconde afin de pouvoir donner des noms de variables de session clairs et porteurs de sens.

L'écriture de session

Pour enregistrer une nouvelle variable de session, c'est tout simple. Il suffit juste d'ajouter un couple clé / valeur au tableau$_SESSION comme l'illustre l'exemple suivant.

<?php
// Démarrage ou restauration de la session
session_start();

// Ecriture d'une nouvelle valeur dans le tableau de session
$_SESSION['login'] = 'Dupond';
?>

Le tableau $_SESSION, qui était vide jusqu'à présent, s'est agrandit dynamiquement et contient maintenant une valeur (Dupond) à la clé associative login. Une variable de session est alors créée.

Note de rappel : à la place de la chaîne de caractères «Dupond»,nous aurions pu mettre un nombre, un booléen ou encore un tableau par exemple.

Lecture d'une variable de session

Après l'écriture, c'est au tour de la lecture. Il n'y a rien de plus simple. Pour lire la valeur d'une variable de session, il faut tout simplement appeler le tableau de session avec la clé concernée. L'exemple ci-dessous illustre tout ça.

<?php
// Démarrage ou restauration de la session
session_start();

// Lecture d'une valeur du tableau de session
echo $_SESSION['login'];
?>

Cette instruction aura pour effet d'afficher à l'écran la chaîne de caractères Dupond.

Destruction d'une session

Comme cela a été évoqué plus haut, le serveur détruit lui même la session au bout d'un certain temps si elle n'a pas été renouvelée. En revanche, il est possible de forcer sa destruction grâce à la fonction session_destroy(). Cela permet par exemple aux webmasters de proposer une page de déconnexion aux membres logués à leur espace personnel. Cependant, l'utilisation de session_destroy() seule n'est pas très "propre". Le code suivant présente une manière plus correcte de mettre fin à une session.

<?php
// Démarrage ou restauration de la session
session_start();

// Réinitialisation du tableau de session
// On le vide intégralement
$_SESSION =  array();

// Destruction de la session
session_destroy()

// Destruction du tableau de session
unset($_SESSION);
?>

Pour être convaincu de la destruction de la session, il suffit juste d'essayer d'afficher le contenu du tableau de session au moyen dela fonction print_r().

Configuration des sessions sur le serveur

Une session ne reste ouverte que pendant un certain temps. Tout au plus, ce sera celle indiquée par la directive session.gc_maxlifetime du php.ini, entre deux clics consécutifs du client. Il est recommandé de ne pas augmenter la valeur inscrite par défaut.
Mais pourquoi ?
Tout simplement parce que si la session à une durée de vie plus importante, on s'expose à des risques de piratage par vol de session notamment (cf: voir les liens annexes en fin de billet pour plus d'informations).

Pour les mêmes raisons de sécurité, il est conseillé de configurer le serveur de la façon suivante :

session.use_cookies 1
session.use_only_cookies 1
session.use_trans_sid 0

Cette configuration implique néanmoins une restriction totale pour les personnes n'acceptant pas les cookies. Ci-dessous, la signification dans le même ordre des 3 lignes de configuration précédentes.

  • L'identifiant de session est transmis par un cookie.
  • Seul le cookie peut transmettre l'identifiant de session.
  • Le PHPSESSID transmis dans l'url est strictement refusé.

Approche pratique : concevoir un accès restreint

Présentation du cas pratique

Le présent chapitre introduit un cas concret d'utilisation des sessions. Il s'agit d'un accès restreint basique. Seul un utilisateur n'est autorisé à être logué mais cet exemple est à la base de la création d'un espace membre. C'est exactement la même chose. Pour réaliser tout ça, nous aurons besoin de 2 fichiers : le formulaire accompagné de son script de login, et la page protégée.

Commençons par le formulaire de login. Le code étant commenté, il n'y aura pas plus d'explications.

Formulaire d'authentification : authentification.php

<?php
    // Definition des constantes et variables
    define('LOGIN','toto');
    define('PASSWORD','tata');
    $errorMessage = '';

    // Test de l'envoi du formulaire
    if($_POST) {
   
        // Les identifiants sont transmis ?
        if(!empty($_POST['login']) && !empty($_POST['password'])) {
       
            // Sont-ils les mêmes que les constantes ?
            if($_POST['login'] !== LOGIN) {
           
                $errorMessage = 'Mauvais login !';
            }
              elseif($_POST['password'] !== PASSWORD) {
             
                $errorMessage = 'Mauvais password !';
            }
              else
            {
                // On ouvre la session
                session_start();
               
                // On enregistre le login en session
                $_SESSION['login'] = LOGIN;
               
                // On redirige vers le fichier admin.php
                header('Location: admin.php');
                exit();
            }
        }
          else
        {
            $errorMessage = 'Veuillez inscrire vos identifiants svp !';
        }
    }
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr">
    <head>
        <title>Formulaire d'authentification</title>
    </head>
    <body>
        <form action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>" method="post">
            <fieldset>
                <legend>Identifiez-vous</legend>
                <?php
                    // Rencontre-t-on une erreur ?
                    if(!empty($errorMessage)) {
                        echo htmlspecialchars($errorMessage);
                    }
                ?>
                <p>
                    <label for="login">Login :</label>
                    <input type="text" name="login" id="login" value="" />
                </p>
                <p>
                    <label for="password">Password :</label>
                    <input type="password" name="password" id="password" value="" />
                    <input type="submit" name="submit" value="Se logguer" />
                </p>
            </fieldset>
        </form>
    </body>
</html>

Exemple de page protégée : admin.php

<?php
// On prolonge la session
session_start();

// On teste si la variable de session existe et contient une valeur
if(empty($_SESSION['login'])) {

    // Si inexistante ou nulle, on redirige vers le formulaire de login
    header('Location: authentification.php');
    exit();
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr">
    <head>
        <title>Administration</title>
    </head>
    <body>
    <?php
        // Ici on est bien loggué, on affiche un message
        echo 'Bienvenue ', $_SESSION['login'];
    ?>
    </body>
</html>

Petite explication : pour protéger chacune des pages de l'administration, il faut absolument ajouter en tête de fichier le premier script entièrement. Celui-ci redirige l'utilisateur s'il n'est pas convenablement logué. Sinon il affiche la page Web.

Liens annexes

Voici une série de liens pour obtenir un complément d'information sur l'utilisation des sessions.

Conclusion

Le tutoriel s'achève sur ces derniers mots. Je vous conseille vivement de jeter un oeil à la documentation de PHP au sujet des sessions pour regarder du côté des autres fonctions existantes non évoquées ici. Ceci n'était que le fondement théorique des sessions basé sur un exemple concret et pratique. Vous serez à présent en mesure de construire vos propres applications web à partir de sessions.

A voir également
Ce document intitulé « Les sessions php, comment ça marche ? » issu de CodeS SourceS (codes-sources.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Récursivité : fonction de calcul de puissance et factorielle
Nomenclature : nommage des champs de base de donnée, et des variables
Rejoignez-nous