salut,
je gère les sessions (côté serveur donc) pour un accès par authentification.
Ca c'est pas le problème ... mais j'aimerai savoir si'l est simple pour un utilisateur averti ( une personne qui gère un peu en PHP) de connaitre les informations stockées en variables de session et éventuellement de les modifier ( du fuckin'  hackerZ  quoi )... je ne pense pas mais peut-être que certains d'entre vous ont un avis plus éclairé sur la question   .
 
merci    
 
ps : hotshot, les clefs du camion sont sous la paillasse

 
personne ne sait ?

bah dison ke c po evident mais possible si tu ne controle po les variables get et post.

salut!  
 
ta question tombe bien car je viens juste de finir un projet où mon rôle était justement de gérer les sessions et un peu de sécurité en gros.
 
Je te donne là mon point de vue en tant que développeur:
 
disons que quand tu utilises les sessions, forcément ta variable globale $HTTP_SESSION_VARS (nouvellement $_SESSION ou quelque chose comme cela, ça fait vraiment un baille que g po codé:-)) va contenir les informations que tu auras bien voulu y mettre. Donc, l'utilisateur pourrait savoir le nombre de variables contenues dans $HTTP_SESSION_VARS avec une fonction genre foreach().  
 
Mais accéder @ la valeur qui l'intéresse est un autre problème car $HTTP_SESSION_VARS étant un tableau, il y a 2 moyens pour accéder @ ses champs: par des indices de manière classique pour par des index genre $HTTP_SESSION_VARS["mon_attribut"].
Avec la 2eme méthode, il est plus difficile de modifier la bonne information, même si tu sais @ quelle position elle se trouve dans le tableau.
 
Voila les deux points que je voulais juste souligner.
 
Par contre, je ne saurait te dire comment un hackerZ ferait pour accéder @ ta variable $HTTP_SESSION_VARS de manière dynamique, la modifier, etc... faudrait peut être qu'il exécute un script chez toi.... vraiment pas mon domaine de compétence...
 
 
 

> PQKGizmo : merci pour ta réponse bien que ca m'avance peu ....  
 
en fait, j'ai déjà utilisé ce principe dans le même cas ( authentification et stockage d'infos) et ca me semble plutôt securisé ... masi c'etait pour un projet d'école et je ne m'en suis pas inquiété plus que ça ... aujourd'hui c'est pour un client et j'ai pas envie de me faire plomber dans deux mois en m'appercevant qu'il existe une grosse faille
et j'ai initialiser mon register_global à 0    
 
 
moi non plus je ne sais pas comment font les hackerZ pour accéder a ces variables ... et ca me semble aussi difficile sans pouvoir faire tourner un script sur le serveur lui-même .... mais comme je ne vais pas leur filer le FTP .. il y a peu de chance que ca arrive ....  
 
c'est marrant, j'ai l'impression qu'on utilise tous ca de façon securisée sans trop de remise en question    
 
merci a vous .... nouveaux posts bienvenue    
 

Top 10 des trous de sécu PHP : http://www.nexen.net/interview/index.php?id=30
Lis le 3, ça va t'intéresser Sinon j'en sais pas beaucoup plus

merci taiche ... intéressant