Une boutique sans cookies, donc sans sessions

[Etanne]

Bonjour,

Je m'occupe du développement d'une boutique en PHP.
Je suis confronté à un problème assez génant dans le cas où les clients bloquent avec leurs navigateurs les cookies.

La solution serait d'utiliser les sessions, mais les sessions utilisent les cookies. Alors je devrai désactiver dans le php.ini l'utilisation de cookies pour les sessions. Mais dans ce cas, je devrai faire passer l'SID de ma session dans toutes les pages. Hélas le client peut acceder à des pages html, qui doivent rester html. Je ne peux pas utiliser sur certaines pages l'URL-Rewriting.

Donc, dans mon cas comment faire ?

Merci,
Flo.

[Death83]

On peut tout a fait utiliser les sessions sans utiliser de cookie.

C'est ce que je fais moi et ca marche tres bien.

[amika]

mais comment on peut utiliser les sessions si le client bloque les cookies ds son navigateur ?

[Etanne]

Et bien en faisant passer le SID de la session de l'url.
En ce moment, j'ai bloqué mes cookies. Donc sur le forum, pour parader ma protection dans l'url du forum j'ai:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://www.developpez.net/forums/posting_secure.php?[...]sid=54c185339d8eae7ce3936b0d94d795b7

Mais dans mon cas, je peux pas faire passer cette info partout !

[Death83]

Les variables de session sont stocké sur le serveur. Ca n'a donc rien a voir directement avec les cookie.

Tu peut les utiliser sans les passer dans l'url et sans cookie.

[Etanne]

Pourtant les sessions ne fonctionnent pas si je bloque mes cookies.

De plus dans la F.A.Q. on a bien:

Citation:

session.use_cookies
cookies indique si le module doit utiliser des cookies pour enregistrer l'identifiant de session chez le client. Par défaut, 1 (activé). Ce qui suppose que le client accepte les cookies, ce qui n'est pas acquis ! C'est pourquoi certains serveurs font le choix de ne pas stocker l'identifiant de session sous forme de cookie mais le rajoute systématiquement en paramètre dans toutes les URL.

Tu pourrais me montrer un exemple de session qui fonctionne en bloquant les cookies, et passer de page en page sans passer le SID de la session ?

[Death83]

C'est normal ici c'est l'utilisation des session avec les cookies.

Mais si tu fait $_SESSION['toto']=toto;

la variable sera enregistré coté serveur. Et ca marche meme si le me accepte aucun cookie.

[Etanne]

Dis moi en bloquant les cookies si tu arrives à faire passer les varibles de sessions:

test1.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?
session_start();
$_SESSION['valeur'] = 'coucou';
?>
<a href="test2.php">Page suivante</a>

test2.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?
session_start();
echo "Dans la variable > ",$_SESSION['valeur'];
?>

[ePoX]

Citation:

Envoyé par http://fr.php.net/manual/fr/ref.session.php

Passer l'identifiant de session (session ID)
Il y a deux méthodes de propagation de l'identifiant de session :


Cookies

Par URL

Donc les variables ne passent jamais coté client.

Citation:

Envoyé par http://fr.php.net/manual/fr/ref.session.php

Alternativement, vous pouvez utiliser la constante SID qui est définie si la session a commencé. Si le client n'envoie pas un cookie de session approprié, il aura la forme session_name=session_id. Sinon, il vaudra une chaîne vide. Ainsi, vous pouvez dans tous les cas l'inclure dans l'URL.

Tu n'as plus qu'à créer une constante pour cette session.
define("__SESSION__", strip_tags(SID), false);

bye

PS : Se sujet ne serait il pas mieux dans le forum PHP?

[Etanne]

Je dois poser cela dans toute mes pages PHP ?

Ps; j'ai créé ce topic, non pas pour le PHP uniquement, mais pour l'ASP aussi. Je pense que mon problème est le même dans les 2 cas.

De plus, je vous invite à bloquer vos cookies, et d'aller sur des sites marchants, vous verrez que certains ne fonctionne plus, ou d'autre fonctionne, mais utilise le passage du SID par URL.

[ePoX]

Pour ASP je ne sais pas... C'est le même problème, mais la solution est surement différente.

Citation:

Je dois poser cela dans toute mes pages PHP ?

Et même sur tous tes liens apparement.

[Death83]

Comment ca se fait que chey moi ca amrche en bloquant les cookie alors que j'ai rien fait de tout ca?

[ePoX]

Avec ie ? J'ai remarqué sa aussi.... Après j'ai essayer avec FF, qui c'est comporté comme prévu.

[trattos]

Il faudrait passer l'ID de session dans tous tes liens automatiquement, un peu comme chez Free!
Et si jamais ça e marche pas alors les client devront accepter les cookies, tu n'auras pas vraiment le choix eux non plus!

[Etanne]

ok, mais je ne veux pas demander aux clients d'accepter les cookies comme le font plusieurs boutiques sur le net. Comme je le disai le passage du SID par arguments ne me convient pas. D'après vous, je peux peut-être essayer de reconnaitre un client avec ses infos (IP, navigateur, OS, etc..), vous en pensez quoi ?

[Death83]

Une petite question.
Il faut mettre le SID pour toute les adresses et toute les pages si on utilise cette methode?

Apparement phpbb utilise cette methode mais il ne met le sid dans les url pour toutes les adresses.

Vous savez pourquoi?

[trattos]

Citation:

Envoyé par Etanne

ok, mais je ne veux pas demander aux clients d'accepter les cookies comme le font plusieurs boutiques sur le net. Comme je le disai le passage du SID par arguments ne me convient pas. D'après vous, je peux peut-être essayer de reconnaitre un client avec ses infos (IP, navigateur, OS, etc..), vous en pensez quoi ?

Non ça serai trop risqué étant donné que tu gères des informations sensibles sur le client tu ne peux pas risquer de le reconnaître comme ça. Je ne vois pas d'autres solutions.

[Etanne]

Ouaip, je suis du même avis. C'est vraiment dommage que l'on soit tous bloqués.