Depuis PHP4, on entend beaucoup parler de sessions. De nombreuses personnes utilisant PHP ignorent encore ce que c'est et à quoi elles servent. D'autres, en revanche, ne savent pas les utiliser à bon escient. Ce tutoriel est une approche à la fois théorique et pratique des sessions. Elles seront présentées au moyen d'un exemple simple tout au long de ce billet. Il s'agit d'un espace de site sécurisé par authentification.
Une session est un mécanisme technique permettant de sauvegarder temporairement sur le serveur des informations relatives à un internaute. Ce système a notamment été inventé pour palier au fait que le protocole HTTP agit en mode non connecté. A chaque ouverture de nouvelle session, l'internaute se voit attribuer un identifiant de session. Cet identifiant peut-être transmis soit en GET (PHPSESSID ajouté à la fin de l'url), POST ou Cookie (cookie sur poste client) selon la configuration du serveur. Les informations seront quant à elles transférées de page en page par le serveur et non par le client. Ainsi, la sécurité et l'intégrité des données s'en voient améliorées ainsi que leur disponibilité tout au long de la session. Une session peut contenir tout type de données : nombre,chaîne de caractères et même un tableau.
Contrairement à une base de données ou un système de fichiers, la session conserve les informations pendant quelques minutes. Cette durée dépend de la configuration du serveur mais est généralement fixée à 24 minutes par défaut. Le serveur crée des fichiers stockés dans un répertoire temporaire.
Parmi les utilisations les plus courantes des sessions, on trouve :
La théorie, c'est bien beau mais en pratique comment ça se passe ? Le chapitre suivant explique l'initialisation et la restauration d'une session ouverte.
PHP introduit nativement une unique fonction permettant de démarrer ou de continuer une session. Il s'agit de session_start(). Cette fonction ne prend pas de paramètre et renvoie toujours true. Elle vérifie l'état de la session courante. Si elle est inexistante, alors le serveur la crée sinon elle la poursuit.
<?php session_start(); ?>
Dans le cas d'une utilisation des sessions avec les cookies, la fonction session_start() doit obligatoirement être appelée avant tout envoi au navigateur sous peine de voir afficher les fameuses erreurs :
"Cannot modify header information - headers already sent by ..." ou "Cannot send session cookie - headers already sent by ...". Cela est du au fait que PHP ne peut plus envoyer de cookie à l'utilisateur car il y a déjà eu une sortie au navigateur (echo(), print(), espace blanc, tag html...).
Note : il faut appeler session_start() sur chaque page utilisant le système de session.
Lorsqu'une session est créée, elle est par défaut vide. Elle n'a donc aucun intérêt. Il faut donc lui attribuer des valeurs à sauvegarder temporairement. Pour cela, le langage PHP met en place le tableau superglobal $_SESSION. Le terme superglobal signifie que le tableau a une visibilité maximale dans les scripts. C'est à dire que l'on peut y faire référence de manière globale comme locale dans une fonction utilisateur sans avoir à le passer en paramètre. Le tableau $_SESSION peut-être indexé numériquement mais aussi associativement. En règle générale, on préfère la seconde afin de pouvoir donner des noms de variables de session clairs et porteurs de sens.
Pour enregistrer une nouvelle variable de session, c'est tout simple. Il suffit juste d'ajouter un couple clé / valeur au tableau$_SESSION comme l'illustre l'exemple suivant.
<?php // Démarrage ou restauration de la session session_start(); // Ecriture d'une nouvelle valeur dans le tableau de session $_SESSION['login'] = 'Dupond'; ?>
Le tableau $_SESSION, qui était vide jusqu'à présent, s'est agrandit dynamiquement et contient maintenant une valeur (Dupond) à la clé associative login. Une variable de session est alors créée.
Note de rappel : à la place de la chaîne de caractères «Dupond»,nous aurions pu mettre un nombre, un booléen ou encore un tableau par exemple.
Après l'écriture, c'est au tour de la lecture. Il n'y a rien de plus simple. Pour lire la valeur d'une variable de session, il faut tout simplement appeler le tableau de session avec la clé concernée. L'exemple ci-dessous illustre tout ça.
<?php // Démarrage ou restauration de la session session_start(); // Lecture d'une valeur du tableau de session echo $_SESSION['login']; ?>
Cette instruction aura pour effet d'afficher à l'écran la chaîne de caractères Dupond.
Comme cela a été évoqué plus haut, le serveur détruit lui même la session au bout d'un certain temps si elle n'a pas été renouvelée. En revanche, il est possible de forcer sa destruction grâce à la fonction session_destroy(). Cela permet par exemple aux webmasters de proposer une page de déconnexion aux membres logués à leur espace personnel. Cependant, l'utilisation de session_destroy() seule n'est pas très "propre". Le code suivant présente une manière plus correcte de mettre fin à une session.
<?php // Démarrage ou restauration de la session session_start(); // Réinitialisation du tableau de session // On le vide intégralement $_SESSION = array(); // Destruction de la session session_destroy() // Destruction du tableau de session unset($_SESSION); ?>
Pour être convaincu de la destruction de la session, il suffit juste d'essayer d'afficher le contenu du tableau de session au moyen dela fonction print_r().
Une session ne reste ouverte que pendant un certain temps. Tout au plus, ce sera celle indiquée par la directive session.gc_maxlifetime du php.ini, entre deux clics consécutifs du client. Il est recommandé de ne pas augmenter la valeur inscrite par défaut.
Mais pourquoi ?
Tout simplement parce que si la session à une durée de vie plus importante, on s'expose à des risques de piratage par vol de session notamment (cf: voir les liens annexes en fin de billet pour plus d'informations).
Pour les mêmes raisons de sécurité, il est conseillé de configurer le serveur de la façon suivante :
session.use_cookies 1 session.use_only_cookies 1 session.use_trans_sid 0 |
Cette configuration implique néanmoins une restriction totale pour les personnes n'acceptant pas les cookies. Ci-dessous, la signification dans le même ordre des 3 lignes de configuration précédentes.
Le présent chapitre introduit un cas concret d'utilisation des sessions. Il s'agit d'un accès restreint basique. Seul un utilisateur n'est autorisé à être logué mais cet exemple est à la base de la création d'un espace membre. C'est exactement la même chose. Pour réaliser tout ça, nous aurons besoin de 2 fichiers : le formulaire accompagné de son script de login, et la page protégée.
Commençons par le formulaire de login. Le code étant commenté, il n'y aura pas plus d'explications.
<?php // Definition des constantes et variables define('LOGIN','toto'); define('PASSWORD','tata'); $errorMessage = ''; // Test de l'envoi du formulaire if($_POST) { // Les identifiants sont transmis ? if(!empty($_POST['login']) && !empty($_POST['password'])) { // Sont-ils les mêmes que les constantes ? if($_POST['login'] !== LOGIN) { $errorMessage = 'Mauvais login !'; } elseif($_POST['password'] !== PASSWORD) { $errorMessage = 'Mauvais password !'; } else { // On ouvre la session session_start(); // On enregistre le login en session $_SESSION['login'] = LOGIN; // On redirige vers le fichier admin.php header('Location: admin.php'); exit(); } } else { $errorMessage = 'Veuillez inscrire vos identifiants svp !'; } } ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr"> <head> <title>Formulaire d'authentification</title> </head> <body> <form action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>" method="post"> <fieldset> <legend>Identifiez-vous</legend> <?php // Rencontre-t-on une erreur ? if(!empty($errorMessage)) { echo htmlspecialchars($errorMessage); } ?> <p> <label for="login">Login :</label> <input type="text" name="login" id="login" value="" /> </p> <p> <label for="password">Password :</label> <input type="password" name="password" id="password" value="" /> <input type="submit" name="submit" value="Se logguer" /> </p> </fieldset> </form> </body> </html>
<?php // On prolonge la session session_start(); // On teste si la variable de session existe et contient une valeur if(empty($_SESSION['login'])) { // Si inexistante ou nulle, on redirige vers le formulaire de login header('Location: authentification.php'); exit(); } ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr"> <head> <title>Administration</title> </head> <body> <?php // Ici on est bien loggué, on affiche un message echo 'Bienvenue ', $_SESSION['login']; ?> </body> </html>
Petite explication : pour protéger chacune des pages de l'administration, il faut absolument ajouter en tête de fichier le premier script entièrement. Celui-ci redirige l'utilisateur s'il n'est pas convenablement logué. Sinon il affiche la page Web.
Voici une série de liens pour obtenir un complément d'information sur l'utilisation des sessions.
Le tutoriel s'achève sur ces derniers mots. Je vous conseille vivement de jeter un oeil à la documentation de PHP au sujet des sessions pour regarder du côté des autres fonctions existantes non évoquées ici. Ceci n'était que le fondement théorique des sessions basé sur un exemple concret et pratique. Vous serez à présent en mesure de construire vos propres applications web à partir de sessions.