cs_tweeder
Messages postés172Date d'inscriptionjeudi 30 janvier 2003StatutMembreDernière intervention19 juin 2009
-
30 mars 2006 à 05:12
cs_tweeder
Messages postés172Date d'inscriptionjeudi 30 janvier 2003StatutMembreDernière intervention19 juin 2009
-
30 mars 2006 à 15:54
Bonjour à tous,
J'aimerais avoir votre avis sur un truc. Je fais la gestion d'un site et la partie administrateur utilise les variable de session. Est-il possible de forger une variable de session autrement que dans le code ? Je m'explique, est-ce que l'utilisateur pourrait créer une variable de session "is_logged" à partir de données d'un formulaire ou dans la barre d'adresse avec des variables $_GET ?
malalam
Messages postés10839Date d'inscriptionlundi 24 février 2003StatutMembreDernière intervention 2 mars 201025 30 mars 2006 à 09:26
Hello,
difficile de te réponse sans savoir comment fonctionne ton identification.
A priori, tu demandes une identification via un formulaire. Et après traitement de ce formulaire, tu crées la variable de session.
Bon...eh bien si ton formulaire présente des failles de sécurité, oui, évidemment, il est possible de le pirater.
Mais sans voir ton code, on ne peut pas te dire si ton site est bien protégé ou non.
Bref, la réponse à ta question serait du genre : oui, tout ou presque est possible...mais pas de créer la variable de session : ce qui est possible, c'est de hacker un ou plusieurs comptes. Puis de s'identifier avec, et donc, d'obtenir une session valide.