Cours PHP .com : Sessions et sécurité

Services webmasters

Partenaires

	Jeux concours gratuits
	Forfait mobile Jeux gratuits Debloquer telephone Debloquer portable Police d'écriture

Introduction
<<<

Sessions et sécurité

Pré-requis
>>>

7.94 Sessions
7 Index des fonctions
Manuel PHP

. Introduction
->Sessions et sécurité
. Pré-requis
. Installation
. Configuration à l'exécution
. Types de ressources
. Constantes prédefinies
. Exemples
. Passer l'identifiant de session (session ID)
. Gestion personnalisée des sessions
. session_cache_expire
. session_cache_limiter
. session_decode
. session_destroy
. session_encode
. session_get_cookie_params
. session_id
. session_is_registered
. session_module_name
. session_name
. session_regenerate_id
. session_register
. session_save_path
. session_set_cookie_params
. session_set_save_handler
. session_start
. session_unregister
. session_unset
. session_write_close

7.94.2 Sessions et sécurité

Lien externe : Session fixation

Utiliser les sessions ne signifie pas que les données de session ne pourront être vue que par un seul utilisateur. Il est important de garder cela en tête, lorsque vous stockez et affichez des données importantes. Lorsque vous stockez des données dans une session, il faut se demander quels seront les problèmes posés si quelqu'un d'autre accède à cette information, ou comment votre application est affectée si la session est en fait celle d'un autre.

Par exemple, si quelqu'un usurpe une session, il peut alors poster un message dans un forum sous une fausse identitée. Quelle est la gravité de ce problème? Ou bien, il peut accèder aux commandes d'un client, et même, modifier son panier d'achat. A priori, c'est moins problématique pour un fleuriste que pour un pharmacien.

Par conséquent, lorsque vous manipulez des données importantes, il faut exploiter d'autres méthodes pour décider si une session est valide ou pas. Les sessions ne fournissent pas une méthode fiable d'authentification.

Les sessions reposent sur un identifiant de session, ce qui signifie que quelqu'un peut voler cet identifiant, rien qu'en volant l'ID. Ce vol peut être rendu très difficile, comme par exemple en utilisant les cookies, mais en aucun cas cela sera impossible. Les sessions dépendent aussi de la discipline de l'utilisateur qui referme son navigateur à la fin de la session pour tout clore proprement. De plus, même les cookies de session peuvent être surveillés sur un réseau, ou bien notés par un proxy.

<<	Sessions et sécurité	>>
Introduction	Sessions	Pré-requis

Services webmasters

Les manuels

CoursPHP.com - Reproduction interdite -