Sécurité et session [Résolu]

Signaler
Messages postés
172
Date d'inscription
jeudi 30 janvier 2003
Statut
Membre
Dernière intervention
19 juin 2009
-
Messages postés
172
Date d'inscription
jeudi 30 janvier 2003
Statut
Membre
Dernière intervention
19 juin 2009
-
Bonjour à tous,

J'aimerais avoir votre avis sur un truc. Je fais la gestion d'un site et la partie administrateur utilise les variable de session. Est-il possible de forger une variable de session autrement que dans le code ? Je m'explique, est-ce que l'utilisateur pourrait créer une variable de session "is_logged" à partir de données d'un formulaire ou dans la barre d'adresse avec des variables $_GET ?

Jonathan

2 réponses

Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
23
Hello,

difficile de te réponse sans savoir comment fonctionne ton identification.
A priori, tu demandes une identification via un formulaire. Et après traitement de ce formulaire, tu crées la variable de session.
Bon...eh bien si ton formulaire présente des failles de sécurité, oui, évidemment, il est possible de le pirater.
Mais sans voir ton code, on ne peut pas te dire si ton site est bien protégé ou non.

Bref, la réponse à ta question serait du genre : oui, tout ou presque est possible...mais pas de créer la variable de session : ce qui est possible, c'est de hacker un ou plusieurs comptes. Puis de s'identifier avec, et donc, d'obtenir une session valide.
Messages postés
172
Date d'inscription
jeudi 30 janvier 2003
Statut
Membre
Dernière intervention
19 juin 2009

Ok merci, ça répond à ma question !

Jonathan