Citation :En conclusion, tu as raison. [note de kéké :le système par session est limité et n'est pas fiable à 100%]
C'est un système en chaussette (qui tient chaud l'hiver mais qu'on aimerait peut-être enlever l'été) qui peut vite partir en sucette...

Citation :En mon sens, les variables de session ne sont pas des données fiables. Elles peuvent être utilisées que dans des cas précis :
- système de connexion
- formulaire en plusieurs pages (même si on peut les éviter)
- pour stocker des constantes propre au joueur. (le nom du joueur, le nom de sa ville principale, ...)
- pour stocker des id de tables qui sont pratiquement invariants durant la connexion de l'utilisateur. A utiliser dans l'idée d'optimiser ses requêtes.

(03-12-2008, 04:41 PM)Zamentur a écrit : IMPORTANT
Enfin un trucs concernant les sessions, il est primordial lors de l'appel à session_start d'utiliser session_regenerate_id afin d'eviter qu'un utilisateur ne se fasse imposer son numero de session.
Ce qui serait l'équivalent d'un vol de' session, et malheureusement beaucoup d'application sont vulnérable à cette faille!

<?php 

session_start();

$clientHeaders = $_SERVER['HTTP_USER_AGENT'];

if( array_key_exists('HTTP_ACCEPT', $_SERVER) )

    $clientHeaders .= $_SERVER['HTTP_ACCEPT'];

$clientHeaders = md5($clientHeaders);



// Si utilisateur connecté

if( isConnect() && $_SESSION['clientBrowser'] != $clientHeaders )

{

    session_regenerate_id();

    session_destroy();

    header("HTTP/1.0 403 Forbidden" );

    exit();

}



$_SESSION['clientBrowser'] = $clientHeaders; 

(07-12-2008, 01:40 AM)Anthor a écrit :

(03-12-2008, 04:41 PM)Zamentur a écrit : IMPORTANT
Enfin un trucs concernant les sessions, il est primordial lors de l'appel à session_start d'utiliser session_regenerate_id afin d'eviter qu'un utilisateur ne se fasse imposer son numero de session.
Ce qui serait l'équivalent d'un vol de' session, et malheureusement beaucoup d'application sont vulnérable à cette faille!

Il ne faut surtout pas le faire après chaque session_start(), ce qui correspond à renvoyer un nouveau cookie à chaque requête http, pour renouveler l'identifiant, ce qui est très lourd.
Par contre il faut effectivement régénérer l'identifiant à chaque connexion d'un membre, pour déconnecter tout autre personne susceptible d'être connecté.

Pour simplement éviter une même session entre deux navigateurs différents, et donc un éventuel vol de session, il suffit simplement d'enregistrer le navigateur entre 2 requêtes :

Code PHP :

<?php 

session_start();

$clientHeaders = $_SERVER['HTTP_USER_AGENT'];

if( array_key_exists('HTTP_ACCEPT', $_SERVER) )

    $clientHeaders .= $_SERVER['HTTP_ACCEPT'];

$clientHeaders = md5($clientHeaders);



// Si utilisateur connecté

if( isConnect() && $_SESSION['clientBrowser'] != $clientHeaders )

{

    session_regenerate_id();

    session_destroy();

    header("HTTP/1.0 403 Forbidden" );

    exit();

}



$_SESSION['clientBrowser'] = $clientHeaders; 

(07-12-2008, 11:21 AM)Anthor a écrit : C'est pourtant une solution reconnu dans le monde du développement. Peut-être devrait-tu revoir le fonctionnement interne des sessions ?

Si tu change de navigateur, le premier est automatiquement déconnecté, grâce au changement d'id, puis du vidage, qui reconnecte une nouvelle session. L'ordre est important, car si tu vides en premier, l'identifiant reste le même.Le pirate ne peux plus réouvrir la session à moins de retrouver l'identifiant de session.

Enfin, tu devrais savoir que cela fait parti des préconisations de Zend en matière de sécurité. M'enfin je dit ça je dit rien... Continuez donc à vous réinventer la roue avec des script inutiles et coûteux en ressources ^^