Httponly cookies, où le placer?

rosert · 06/09/2012, 19h17

Bonjour,
je suis plus expérimenté en Winform qu'en web,
or là je dois apporter des corrections à un site en PHP, notamment sur les Httponly cookies. Après des recherches, il apparait que:
- en PHP 5 on peut le configurer de manière définitive avec session.cookie_httponly = True dans le fichier PHP.ini mais pas possible en PHP4 (confirmation ?), ça aurait été trop beau et trop facile.
- pour les versions antérieures à PHP 5 on utilise l'instruction header( "Set-Cookie: test=test; httpOnly" ) il semblerait;
- le seul endroit du site où figure "cookie" est dans un fichier avec la variable $superglobals, ce fichier est appelé (include) pratiquement partout alors je me dis qu'il doit être le bon. Son code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?
 
// Émulation de register_globals à on
if (!ini_get('register_globals')) {
   $superglobals = array($_SERVER, $_ENV,
       $_FILES, $_COOKIE, $_POST, $_GET);
   if (isset($_SESSION)) {
       array_unshift($superglobals, $_SESSION);
   }
   foreach ($superglobals as $superglobal) {
       extract($superglobal, EXTR_SKIP);
   }
}
 
?>

voilà, je sais pas où placer l'instruction set-cookie pour mettre httponly à true, je ne sais pas non plus à quel moment les cookies sont définis.

Merci d'avance,
Cordialement.

rosert · 19/11/2012, 11h36

Bonjour, encore moi.
Ce que je vais demander va paraître peut-être élémentaire pour certains mais bon, est-ce qu'on doit s'inquiéter de la lecture des informations contenues dans les cookies via JavaScript pour un site où à aucun moment on a défini des cookies? je veux dire est que des cookies avec des informations peuvent être créés alors qu'on n'a pas fait de "Setcookie" dans le code du site?

merci d'avance

shell13010 · 19/11/2012, 15h24

Bonjour,

Pour mettre httponly a true il te suffit de faire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

setcookie('string', 'string', time() + 3600, null, null, false, true);

Le dernier paramètre mais httponly a true, pour se qui est de le placer?

il faut le placer toujours avant tout code html.

rosert · 19/11/2012, 15h30

merci pour la réponse,
mais j'utilise PHP4. les recherches m'ont conduit à cette instruction:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header( "Set-Cookie: test=test; httpOnly" );

je crois que je dois la placer dans index.php comme première instruction juste après le <?php mais je n'en suis pas sûr. Dois-je aussi la placer dans d'autres fichier .php? Et ma question précédente intervient parce que n'ayant pas "set" de cookies, je me dis que j'ai peut-être pas à les protéger.

Merci d'avance

19/11/2012, 15h24	#3
shell13010 Membre confirmé kyle debasa Étudiant Inscription : mars 2008 Messages : 266 Détails du profil Informations personnelles : Nom : kyle debasa Âge : 28 Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur) Informations professionnelles : Activité : Étudiant Secteur : Distribution Informations forums : Inscription : mars 2008 Messages : 266 Points : 247 Points : 247	Bonjour, Pour mettre httponly a true il te suffit de faire: Code : Sélectionner tout - Visualiser dans une fenêtre à part setcookie('string', 'string', time() + 3600, null, null, false, true); Le dernier paramètre mais httponly a true, pour se qui est de le placer? il faut le placer toujours avant tout code html. __________________ "Quelle prétention de prétendre que l'informatique est récente: Adam et Eve avaient déjà un Apple!"
	00

19/11/2012, 15h30	#4
rosert Candidat au titre de Membre du Club K-Prim Rosert Inscription : septembre 2010 Messages : 39 Détails du profil Informations personnelles : Nom : K-Prim Rosert Informations forums : Inscription : septembre 2010 Messages : 39 Points : 10 Points : 10	merci pour la réponse, mais j'utilise PHP4. les recherches m'ont conduit à cette instruction: Code : Sélectionner tout - Visualiser dans une fenêtre à part header( "Set-Cookie: test=test; httpOnly" ); je crois que je dois la placer dans index.php comme première instruction juste après le <?php mais je n'en suis pas sûr. Dois-je aussi la placer dans d'autres fichier .php? Et ma question précédente intervient parce que n'ayant pas "set" de cookies, je me dis que j'ai peut-être pas à les protéger. Merci d'avance
	00

19/11/2012, 11h36	#2
rosert Candidat au titre de Membre du Club K-Prim Rosert Inscription : septembre 2010 Messages : 39 Détails du profil Informations personnelles : Nom : K-Prim Rosert Informations forums : Inscription : septembre 2010 Messages : 39 Points : 10 Points : 10	Bonjour, encore moi. Ce que je vais demander va paraître peut-être élémentaire pour certains mais bon, est-ce qu'on doit s'inquiéter de la lecture des informations contenues dans les cookies via JavaScript pour un site où à aucun moment on a défini des cookies? je veux dire est que des cookies avec des informations peuvent être créés alors qu'on n'a pas fait de "Setcookie" dans le code du site? merci d'avance
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email