SÉCURISER LES SESSIONS PHP
cs_Anthomicro
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
-
18 juin 2004 à 14:11
OniTalus Messages postés 39 Date d'inscription samedi 7 mai 2005 Statut Membre Dernière intervention 20 juin 2005 - 13 mai 2005 à 22:35
OniTalus Messages postés 39 Date d'inscription samedi 7 mai 2005 Statut Membre Dernière intervention 20 juin 2005 - 13 mai 2005 à 22:35
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/23799-securiser-les-sessions-php
https://codes-sources.commentcamarche.net/source/23799-securiser-les-sessions-php
13 mai 2005 à 22:35
Sinon ce code peut etre utile (pas regardé en detail m'enfin)
11 mai 2005 à 18:23
11 mai 2005 à 09:34
Pas besoin d'une source comme sa...
Vois pas pk tu existe encore sur code source avec toute les critique que tu fais sur toute les source des autre membre
1 mars 2005 à 10:50
Et quand y'a des problèmes je mets à jour, y'a qu'à regarder l'espaces membres (sa date de parution et mise à jour)
a +
1 mars 2005 à 09:36
;)
16 févr. 2005 à 21:46
Bref si tu te fais voler seulement ton ID de session ça ne fonctionnera pas ;-)
Après cette source est dépassée si c'est ça que tu veux me faire dire, et je suis tout à fait d'accord avec toi
a ++
16 févr. 2005 à 21:35
21 juin 2004 à 10:17
Salut !
le problème dans ton script est que tu n'utilises pas les variables globales (à part pour les sessions).
Je vais donc faire ça au pif, tu corrigeras en fonction d'où viennent les variables.
D'abord tu enregistres la classe (mon script) dans un fichier par exemple dans un répertoire classes/ma_classe.inc.php
Ensuite dans chaque fichier qui nécessite les sessions, tu fais ceci :
include 'classes/ma_classe.inc.php';
$sessions = new session();
/*
JE T'AI MIS TOUTES LES VARIABLES DANS LA
CONDITIONMAIS 'ZIM' SUFFIT (OU 'ZIM_PASS' OU PHPSESSID)
*/
if(!$sessions->existe('zim') OR !$sessions->existe('zim_pass') OR !$sessions->existe('PHPSESSID'))
{
echo 'session expirée ou invalide';
header("location: index.php");
exit();
}
else
{
include 'configuration.inc.php';
//On selectionne la base de données
/* Je suppose que les champs proviennent d'un formulaire en method=POST */
$password=md5($_POST['password']);
// On selectionne quand le champs login correspond au login entré
// et le champs passe au pass entré.
//$sql "SELECT * FROM utilisateurs WHERE nom_utilisateur'".$_POST['login']."' and mot_passe ='$password'";
$sql "SELECT * FROM comptemembre WHERE user'".$_POST['login']."' and pass ='$password'";
// On execute la requête de selection
$res = mysql_query($sql);
$result=mysql_fetch_object($res);
$user=$result->user;
$pass=$result->pass;
//session_register ("user");
$sessions->attribuer('zim',$user);
$sessions->attribuer('zim_pass',$pass);
$sessions->attribuer('PHPSESSID',$PHPSESSID) //RISQUE D'Y AVOIR UN CONFLIT AVEC L'AUTRE COOKIE, NE MET PAS CETTE LIGNE
// On compte le nombre de ligne des resultats
// 1 : si valide 0 si aucun login ne correspond
// On compte le nombre de ligne des resultats
// 1 : si valide 0 si aucun login ne correspond
$exist = mysql_num_rows($res);
// Si la variable $exist = 0 --> login inexistant ou faux pass
if(!$exist) {
// On affiche ce message d'erreur
// echo "<center>Veuillez vérifier vos données</center>";
// On inclut le formulaire d'identification
include 'aide.php';
}
else {
echo "<meta http-equiv='Refresh' content='0; url=/Ria/espace.php?PHPSESSID=$PHPSESSID'>";
}
Voilà j'espère que ça a pu t'aider
N'oublie pas cependant, le visiteur doit accepter les cookies sans quoi il se verra refuser l'accès.
a +++
21 juin 2004 à 10:07
Ceci dit on peut très bien rajouter ta portion de code dans ma classe pour avoir une sécurité presque inviolable (à part si le mec se fait prendre son IP mais là faut vraiment qu'il est envie de hacker le site) !
Bonne journée !
21 juin 2004 à 10:00
A choisir entre les deux, je prends donc mon système :)
21 juin 2004 à 09:42
a ++
21 juin 2004 à 09:21
$_SESSION['checkcode'] = sha1 ($HTTP_USER_AGENT . ':' . $REMOTE_ADDR);
Et sur chaque autre page de ton site, si les informations dispo dans la session t'indiquent que le visiteur est bien connecté, tu refais cette somme de contrôle et tu la compare à celle stockée dans la session, en utilisant par exemple
if (strcmp ($_SESSION['checkcode'], sha1 ($HTTP_USER_AGENT . ':' . $REMOTE_ADDR) != 0)
{
echo 'Vous n'êtes pas autorisé à voir cette page';
exit;
}
C'est la méthode utilisée sur le site de Yahoo! pour lequel j'ai travaillé, et elle donne d'assez bons résultats.
19 juin 2004 à 08:07
19 juin 2004 à 06:48
"session_start();" sinon php renvoie une erreur...
Dans ce cas-ci, je ne sais pas si ca fonctionne mais bon, c'était juste pour rappeler à certains qui auraient la tête ds les nuages..
@+ et bon PHP !
R)0(b
18 juin 2004 à 21:21
"S'il n'accepte pas les cookies, je vois pas l'intérêt de ta classe..." > Tout à fait, je l'ai écrit plus haut....
"Le principe des sessions n'est-il pas d'éviter les cookies ?" > J'aime pas les identifiants qui trainent dans l'url, c'est pas propre lol
a ++
18 juin 2004 à 21:14
18 juin 2004 à 16:27
Je vois pas trop l'intérêt:
- Si le gars accepte les cookie, l'id est déjà enregistré sur son poste dans un cookie
- S'il n'accepte pas les cookies, je vois pas l'intérêt de ta classe...
@++
R@f
18 juin 2004 à 14:11
a +