Problème de session...Résolu

Question

Bonjour,

Question s'adressant aux pros des session...

Sur un site en cours de d&#233;veloppement, j'ai une partie "espace personnel" qui fonctionne &#224; l'aide de session...

les variables de session sont initialis&#233;s par l'authentification, et se prom&#232;ne de page en page.


Mon soucis, c'est que lors d'un test, j'ai acc&#233;der &#224; un espace personnel sans m'authentifier sur un autre PC du m&#234;me r&#233;seau que le mien, alors je j'avais laiss&#233; une session ouverte sur mon PC.


Je n'ai pas r&#233;ussi &#224; recr&#233;er cette erreur, mais d'un point de vue s&#233;curit&#233; ca m'inqui&#232;te un peu 

Si quelqu'un a une explication, je suis preneur !

PS : la maquette de mon site est h&#233;berg&#233;e sur un serveur OVH.

coucou747 · Accepted Answer

Salut,

euh...



pas possible.... ou th&#233;oriquement tr&#232;s tr&#232;s tr&#232;s peu probable...



l'id de session est envoy&#233; par cooki, alors &#224; moins que vous ne partagiez vos cookis, &#231;a ne passe pas...



dans ce cooki, on met :



md5(microtime()) donc, il y a tr&#232;s tr&#232;s peu de chances pour que la chaine ai &#233;t&#233; la m&#234;me aux deux isntants...



Bon, sinon, tu as peut-&#234;tre modifi&#233; l'id de session (par exemple,
personellement, sur un site, j'ai mis l'ip et le nom du navigateur en
id de session car comme mon adresse est une ip, alors les gens ne
gardaient pas les cookis, par s&#233;curit&#233;...)


In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy

Mon site (articles sur la programmation et programmes)

Gyome314 · Answer

Merci pour ta r&#233;ponse, je suis un peu plus rassur&#233;... je n'ai pourtant pas r&#233;v&#233;, c'est bizarre 

Par acquis de conscience je voulais savoir combien de temps "dure" une session ? si on ne passe pas par un session_destroy();

Et par deuxi&#232;me acquis de consience, voici un petit bout de mon code :

   // Fichier session.php
   session_start();
   // Ce qui se passe lorsqu'on valide le formulaire de connexion
   if(isset($_POST["authentification"])){
      // REQUETE login/mdp
      [...]
      // Si la requete est bonne
      if($obj=mysql_fetch_object($res);
         $_SESSION["user_id"]=$obj->id;
      }
   }
   $user_id=$_SESSION["user_id"];
   
voila, ce fichier est inclus en t&#234;te de toutes les pages prot&#232;g&#233;es, et si j'ai une valeur dans $user_id le contenu des pages est g&#233;n&#233;r&#233; sinon, on est r&#233;orient&#233; vers la page d'identification.
Cela te semble t-il correct ?

Merci encore
Gyome.

coucou747 · Answer

Salut,

remplace :



  $user_id=$_SESSION["user_id"];



par 



  $user_id=isset($_SESSION['user_id'])?$_SESSION['user_id']:'';


et &#231;a sera corect !



Bon, &#224; part &#231;a, c'est corect, et sinon, une session a une dur&#233;e de vie
variable : vas voir dans php.ini, tu verras, t'as une variable &#224; r&#233;gler
pour &#231;a... g&#233;n&#233;ralement, je crois que c'est 20 minutes..

In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy

Mon site (articles sur la programmation et programmes)

Gyome314 · Answer

Ok,

merci pour tout, ca &#224; l'air de fonctionner sans pb.

Je reste un peu sur ma fin quand l'&#233;nigme de la session qui &#224; chang&#233; de poste, mais mon r&#233;seau est tellement bizarre que ca ne m'inqui&#232;te pas plus que ca...

A+
Gyome.

coucou747 · Answer

Salut,



Bon, fais r&#233;ponse acc&#232;pt&#233;e stp

In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy

Mon site (articles sur la programmation et programmes)

Problème de session...

5 réponses

Votre réponse

Discussions similaires