session_id() en paramètre URL ?

phpnewbie67 · 08/02/2011, 12h59

Bonjour,

Je voudrais savoir si ça pose un problème de sécurité d'envoyer la session_id() en paramètre d'URL ? sachant que c'est pour la même personne et en aucun cas elle sera transmise à un tiers.

J'attends vos réponses merci.

Mon principe :*code d'exemple
Génération :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
<?php
session_start();
$id=session_id();
$href='http://bidule.com/retour_boutique.php?id='.$id;
?>

Affectation/Recupération (retour_boutique.php):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
<?php
if(isset($_GET['id']))
  session_id($_GET['id']);
session_start();
//Utilisation des variables $_SESSION
?>

stealth35 · 08/02/2011, 13h45

oui et ça peux se faire directement via PHP avec session.use_trans_sid

EDIT : voir même utiliser output_add_rewrite_var

et utilise plutôt le session_name a la place de ton "id"

RunCodePhp · 08/02/2011, 14h47

Salut

La question dont je me pose, c'est pour quelle raison il te faut ajouter le couple session_name/session_id dans l'URL pour le retour vers la boutique ?

Théoriquement, ça n'est pas nécessaire si auparavant lors de la commande une session était créé (sur la boutique).
Normalement toujours, quand on clique sur un lien le navigateur regarde s'il y a un cookie correspondant au domaine que celui du lien, et ça quelque soit le site Web.
Si le domaine existe (ça devrait être le cas) alors le cookie sera présent dans la requête HTTP, et arrivé au serveur (le tient), la session sera récupérée.

En faite, il n'y que lorsqu'on permet de naviguer/commander sur une boutique même si une personne désactive les cookies coté navigateur qu'il sera nécessaire de rajouter ces infos dans une URL.
Si ce n'est pas le cas, alors c'est qu'il doit avoir un problème au niveau des sessions.
Enfin, à mon avis.

08/02/2011, 13h45	#2
stealth35 Modérateur Inscription : septembre 2010 Messages : 7 101 Détails du profil Informations forums : Inscription : septembre 2010 Messages : 7 101 Points : 8 466 Points : 8 466	oui et ça peux se faire directement via PHP avec session.use_trans_sid EDIT : voir même utiliser output_add_rewrite_var et utilise plutôt le session_name a la place de ton "id" __________________ http://blog.stealth35.com/
	00

08/02/2011, 14h47	#3
RunCodePhp Expert Confirmé Inscription : janvier 2010 Messages : 2 706 Détails du profil Informations personnelles : Localisation : Réunion Informations forums : Inscription : janvier 2010 Messages : 2 706 Points : 3 274 Points : 3 274	Salut La question dont je me pose, c'est pour quelle raison il te faut ajouter le couple session_name/session_id dans l'URL pour le retour vers la boutique ? Théoriquement, ça n'est pas nécessaire si auparavant lors de la commande une session était créé (sur la boutique). Normalement toujours, quand on clique sur un lien le navigateur regarde s'il y a un cookie correspondant au domaine que celui du lien, et ça quelque soit le site Web. Si le domaine existe (ça devrait être le cas) alors le cookie sera présent dans la requête HTTP, et arrivé au serveur (le tient), la session sera récupérée. En faite, il n'y que lorsqu'on permet de naviguer/commander sur une boutique même si une personne désactive les cookies coté navigateur qu'il sera nécessaire de rajouter ces infos dans une URL. Si ce n'est pas le cas, alors c'est qu'il doit avoir un problème au niveau des sessions. Enfin, à mon avis. __________________ Win XP \| WampServer 2.2d \| Apache 2.2.21 \| Php 5.3.10 \| MySQL 5.5.20 Si debugger, c'est supprimer des bugs, alors programmer ne peut être que les ajouter [Edsger Dijkstra]
	01

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email