Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1595 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Sessions et identification

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Sessions et identification

n°1727539
tostiere
Posté le 02-05-2008 à 10:55:40  profilanswer
 

Bonjour,
je pose ici une question dont je n'ai pas trouvé la réponse dans le forum.  
En gros, je me demande si la solution que j'ai mise en place pour l'identification des administrateurs sur un site, est correcte :
 
On s'identifie, si le login et le mdp correspondent, alors je stocke le login dans une variable de session, et j'initialise une autre variable de session comme ceci :
$_SESSION['acces'] = "admin"
avant de rediriger l'admin sur la page principale d'administration.
 
Ensuite sur toutes les pages je vérifie si cette derniere session existe (et avec cette valeur là), si c'est le cas on autorise l'accès sinon on est redirigés à la page d'accueil.
 
Est-ce que cette solution est correcte ? Y a t-il des risques de sécurité ? Sinon auriez-vous un petit tuto à m'indiquer qui explique justement comment sécuriser l'accès au site avec les sessions ?
 
Merci  :)

mood
Publicité
Posté le 02-05-2008 à 10:55:40  profilanswer
 

n°1727554
masterpsx
Aigloun foutougrafe
Posté le 02-05-2008 à 11:32:48  profilanswer
 

Ca me semble correcte, ne stockes pas les mots de passes en clair même dans une variable de session c'est tout.  
 
Je te conseille d'utiliser les cookies pour les sessions de ce genre, ca évite de passer la session_id dans l'url ou alors compile php avec enable-trans-sid.
 
La sécurité dependra plutot du stockage des mots de passe et de la vulnérabilité de ton site au injection SQL.

n°1727556
tostiere
Posté le 02-05-2008 à 11:37:44  profilanswer
 

Merci pour ta réponse :)
 
Non le mot de passe n'est stocké nul part, et le sid de la session n'est pas transmis en clair dans l'url. Je devrais donc supposer que c'est bon ?
 
Je vais chercher aussi pour enable-trans-sid. Merci encore :)

n°1727560
masterpsx
Aigloun foutougrafe
Posté le 02-05-2008 à 11:41:57  profilanswer
 

Si tu vois pas le sid dans tes liens et la barre d'adresse c'est que c'est bon :)

n°1727577
tostiere
Posté le 02-05-2008 à 11:53:24  profilanswer
 

Au fait j'ai encore une question qui m'est passée par l'esprit, admettons qu'un type imagine par le plus grand des hasards ce que j'ai codé dans ma page et qu'il se crée une page où il initialise deux sessions :
 
$_SESSION['login'] = (un login déjà existant)
$_SESSION['acces'] = "admin"  
 
Il pourra du coup avoir accès à toutes mes pages ?
 
Je me demande si à la limite je ne devrais pas mettre en place une vérification de l'url de provenance et crypter le contenu de la session "accès".
 
Sinon j'ai regardé un peu cette page-là :
http://wiki.mediabox.fr/tutoriaux/ [...] ssions-php
 
et tout en bas de la page il donne une méthode d'identification, cependant elle ne fait que vérifier si un login existe ! N'est-ce pas dangereux ??


Message édité par tostiere le 02-05-2008 à 11:53:43
n°1727591
masterpsx
Aigloun foutougrafe
Posté le 02-05-2008 à 12:18:49  profilanswer
 

Oui enfin il faut qu'il se crée ses sessions sur ton herbergement quand même, les sessions sont enregistrées sur ton serveur, le cookie ne sert qu'a stocker le session_id il me semble.
 
J'ai pas trop regardé le tuto mais a partir du moment que la variable de session n'est crée que si un login et passe est vérifié non c'est pas dangereux.


Message édité par masterpsx le 02-05-2008 à 12:19:52
n°1727593
tostiere
Posté le 02-05-2008 à 12:23:55  profilanswer
 

Ok merci encore une fois pour ta réponse alors, je commence à y voir plus clair ;)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Sessions et identification

 

Sujets relatifs
Identification Apache[RESOLU]Sessions non transmise
plusieurs sessions sur un nom de domainePop-up d'identification Windows lors d'une connection à la base
protections des pages web en php avec les sessionsproblème avec les conditions IF et les sessions
Cookies et sessions gestion différente sour IE et FFSessions utilisateurs
Probleme identification apres loginSessions et identification
Plus de sujets relatifs à : Sessions et identification


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR