06-03-2010, 01:45 PM
(Modification du message : 06-03-2010, 01:49 PM par Sephi-Chan.)
(06-03-2010, 12:26 PM)Aleskweb a écrit : Personnellement je trouve qu'un cookie a le désavantage de pouvoirs etre modifié. Par consequent, enregistrer des variables dedans ne serait pas très astucieux. Je pense que il vaut mieu tout faire avec les Sessions les Post et les Gets sans bien sur ne pas oublier de le sécuriser (Pas comme le système de news du sdz qui comporte une faille enorme dont beaucoup de novices ne s'en rendent pas compte et par conséquent laissent leurs bdd ouverte au premier devellopeur venu !)
Ne prends pas mal ce qui suit. La sécurité est un sujet important sur lequel il faut avoir des connaissances suffisamment solide pour ne pas induire en erreur les personnes qui vont te lire.
Certaines informations sans importance peuvent bien être stockées côté client. Ça ne pose pas de problème.
Quant à la sécurité, je ne vois pas ce que viennent faire les POST et les GET là dedans… Comme les cookies, ils sont envoyés par le client, et à ce titre on ne doit pas leur faire confiance. On peut donc amalgamer sans problème toutes les données transmises par les actions HTTP (c'est d'ailleurs ce que font certains frameworks).
Seules les sessions ne peuvent pas être modifiées puisque ce sont des données stockées dans un fichier situé sur le serveur. Elles portent un identifiant qu'on transmet au client (et à lui seul) afin qu'il puisse les redemander à chaque requête HTTP qu'il adresse au serveur.
Le passage de cet identifiant peut se faire de deux manières :
- Grâce à un cookie (généralement nommé sid) ;
- Grâce à la query string. PHP accolera à toutes les pages internes au site un paramètre GET qui ressemble généralement à SID=dze3x5lc52ksx ;
Un peu de lecture à ce sujet : PHP.net - Passer l'identifiant de session (session ID).
Certains serveurs sont configurés pour refuser de transmettre l'identifiant de session dans l'URL. C'est une bonne chose à faire.
Pour le faire, ça se passe dans le fichier php.ini (si vous utilisez PHP, ça va de soi) en modifiant la directive session.use_only_cookies à 1.
Sephi-Chan