Discussion :

[rosert]

Bonjour,
je suis plus expérimenté en Winform qu'en web,
or là je dois apporter des corrections à un site en PHP, notamment sur les Httponly cookies. Après des recherches, il apparait que:
- en PHP 5 on peut le configurer de manière définitive avec session.cookie_httponly = True dans le fichier PHP.ini mais pas possible en PHP4 (confirmation ?), ça aurait été trop beau et trop facile.
- pour les versions antérieures à PHP 5 on utilise l'instruction header( "Set-Cookie: test=test; httpOnly" ) il semblerait;
- le seul endroit du site où figure "cookie" est dans un fichier avec la variable $superglobals, ce fichier est appelé (include) pratiquement partout alors je me dis qu'il doit être le bon. Son code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?
 
// Émulation de register_globals à on
if (!ini_get('register_globals')) {
   $superglobals = array($_SERVER, $_ENV,
       $_FILES, $_COOKIE, $_POST, $_GET);
   if (isset($_SESSION)) {
       array_unshift($superglobals, $_SESSION);
   }
   foreach ($superglobals as $superglobal) {
       extract($superglobal, EXTR_SKIP);
   }
}
 
?>

voilà, je sais pas où placer l'instruction set-cookie pour mettre httponly à true, je ne sais pas non plus à quel moment les cookies sont définis.

Merci d'avance,
Cordialement.

[rosert]

Bonjour, encore moi.
Ce que je vais demander va paraître peut-être élémentaire pour certains mais bon, est-ce qu'on doit s'inquiéter de la lecture des informations contenues dans les cookies via JavaScript pour un site où à aucun moment on a défini des cookies? je veux dire est que des cookies avec des informations peuvent être créés alors qu'on n'a pas fait de "Setcookie" dans le code du site?

merci d'avance

[shell13010]

Bonjour,

Pour mettre httponly a true il te suffit de faire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

setcookie('string', 'string', time() + 3600, null, null, false, true);

Le dernier paramètre mais httponly a true, pour se qui est de le placer?

il faut le placer toujours avant tout code html.

[rosert]

merci pour la réponse,
mais j'utilise PHP4. les recherches m'ont conduit à cette instruction:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header( "Set-Cookie: test=test; httpOnly" );

je crois que je dois la placer dans index.php comme première instruction juste après le <?php mais je n'en suis pas sûr. Dois-je aussi la placer dans d'autres fichier .php? Et ma question précédente intervient parce que n'ayant pas "set" de cookies, je me dis que j'ai peut-être pas à les protéger.

Merci d'avance