Gyome314
Messages postés125Date d'inscriptionmercredi 19 novembre 2003StatutMembreDernière intervention22 janvier 2009
-
3 mars 2006 à 11:46
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 2012
-
3 mars 2006 à 13:38
Bonjour,
Question s'adressant aux pros des session...
Sur un site en cours de développement, j'ai une partie "espace personnel" qui fonctionne à l'aide de session...
les variables de session sont initialisés par l'authentification, et se promène de page en page.
Mon soucis, c'est que lors d'un test, j'ai accéder à un espace personnel sans m'authentifier sur un autre PC du même réseau que le mien, alors je j'avais laissé une session ouverte sur mon PC.
Je n'ai pas réussi à recréer cette erreur, mais d'un point de vue sécurité ca m'inquiète un peu
Si quelqu'un a une explication, je suis preneur !
PS : la maquette de mon site est hébergée sur un serveur OVH.
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 3 mars 2006 à 12:01
Salut,
euh...
pas possible.... ou théoriquement très très très peu probable...
l'id de session est envoyé par cooki, alors à moins que vous ne partagiez vos cookis, ça ne passe pas...
dans ce cooki, on met :
md5(microtime()) donc, il y a très très peu de chances pour que la chaine ai été la même aux deux isntants...
Bon, sinon, tu as peut-être modifié l'id de session (par exemple,
personellement, sur un site, j'ai mis l'ip et le nom du navigateur en
id de session car comme mon adresse est une ip, alors les gens ne
gardaient pas les cookis, par sécurité...)
In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy
Mon site (articles sur la programmation et programmes)
Gyome314
Messages postés125Date d'inscriptionmercredi 19 novembre 2003StatutMembreDernière intervention22 janvier 2009 3 mars 2006 à 12:31
Merci pour ta réponse, je suis un peu plus rassuré... je n'ai pourtant pas révé, c'est bizarre
Par acquis de conscience je voulais savoir combien de temps "dure" une session ? si on ne passe pas par un session_destroy();
Et par deuxième acquis de consience, voici un petit bout de mon code :
// Fichier session.php
session_start();
// Ce qui se passe lorsqu'on valide le formulaire de connexion
if(isset($_POST["authentification"])){
// REQUETE login/mdp
[...]
// Si la requete est bonne
if($obj=mysql_fetch_object($res);
$_SESSION["user_id"]=$obj->id;
}
}
$user_id=$_SESSION["user_id"];
voila, ce fichier est inclus en tête de toutes les pages protègées, et si j'ai une valeur dans $user_id le contenu des pages est généré sinon, on est réorienté vers la page d'identification.
Cela te semble t-il correct ?
Bon, à part ça, c'est corect, et sinon, une session a une durée de vie
variable : vas voir dans php.ini, tu verras, t'as une variable à régler
pour ça... généralement, je crois que c'est 20 minutes..
In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy
Mon site (articles sur la programmation et programmes)
Gyome314
Messages postés125Date d'inscriptionmercredi 19 novembre 2003StatutMembreDernière intervention22 janvier 2009 3 mars 2006 à 13:03
Ok,
merci pour tout, ca à l'air de fonctionner sans pb.
Je reste un peu sur ma fin quand l'énigme de la session qui à changé de poste, mais mon réseau est tellement bizarre que ca ne m'inquiète pas plus que ca...
A+
Gyome.
Vous n’avez pas trouvé la réponse que vous recherchez ?