Sécurité et sessionRésolu

Question

Bonjour &#224; tous,

J'aimerais avoir votre avis sur un truc. Je fais la gestion d'un site et la partie administrateur utilise les variable de session. Est-il possible de forger une variable de session autrement que dans le code ? Je m'explique, est-ce que l'utilisateur pourrait cr&#233;er une variable de session "is_logged" &#224; partir de donn&#233;es d'un formulaire ou dans la barre d'adresse avec des variables $_GET ?

Jonathan

malalam · Accepted Answer

Hello,

difficile de te r&#233;ponse sans savoir comment fonctionne ton identification.
 A priori, tu demandes une identification via un formulaire. Et apr&#232;s traitement de ce formulaire, tu cr&#233;es la variable de session.
Bon...eh bien si ton formulaire pr&#233;sente des failles de s&#233;curit&#233;, oui, &#233;videmment, il est possible de le pirater.
Mais sans voir ton code, on ne peut pas te dire si ton site est bien prot&#233;g&#233; ou non.

Bref, la r&#233;ponse &#224; ta question serait du genre : oui, tout ou presque est possible...mais pas de cr&#233;er la variable de session : ce qui est possible, c'est de hacker un ou plusieurs comptes. Puis de s'identifier avec, et donc, d'obtenir une session valide.

cs_tweeder · Answer

Ok merci, &#231;a r&#233;pond &#224; ma question ! 

Jonathan

Sécurité et session

2 réponses

Votre réponse

Discussions similaires