referent, session & header

Question

Salut

Dans la page a.php?s=xxx il y a des liens : 
Par ex : 
-phpcs le super site -> url : [ www.phpcs.com]

Qd je clique sur [/ www.phpcs.com] ca ouvre b.php?url=[/ www.phpcs.com]

Dans b.php, je stock dans myqsl [/ www.phpcs.com] (pour avoir des stats) et je fais un header location : [/ www.phpcs.com] 

Donc dans b.php se charge [/ phpcs]. 

Tout ca c'est OK! 

Maintenant le soucis c'est que dans le fichier log d'apache de phpcs on voit que le referent qui a ouvert cette page c'est a.php?s=xxx et c'est le num de session que je ne veux pas diffuser

A part enlever la session dans l'url de a.php, y a t-il un autre moyen ? 

Merci
Olivier

cs_GRenard · Answer

Sécure tes sessions par IP ;) Mais tu ne peux pas "Enlever" ca du navigateur... le HTTP_REFERER est modifié par le client : "Cette valeur est affectée par le client, et tous les clients ne le font pas. Certains navigateur permettent même de modifier la valeur de HTTP_REFERER, sous forme de fonctionnalité. En bref, ce n'est pas une valeur de confiance." Donc... normalement, tu ne devrais pas te fier à ca, et si tu veux "protéger" ton numéro de session, il faut simplement l'associer à un ip en particulier (ou sinon tu le passe en "session" php et non dans l'URL)... Si tu envoies des mails à tes membres, regarde le HTTP_REFERER... parfois il viens d'hotmail et il y a bien un numéro de session :) Mais tu ne pourras pas y accèder car ca doit être protéger par IP, cookie, nom d'ordi, couleur de ton clavier, vitesse de déplacement angulaire de ta souris et l'épaisseur en metre de ton tapis de souris... Donc en un mot, il faut bien protéger tout simplement :) PHP Guru Écoutez les conseils d'un vieux sage ! Ils sont souvent très utiles. http://www.lookstrike.com

Referent, session & header

1 réponse

Votre réponse

Discussions similaires