+ Répondre à la discussion
Affichage des résultats 1 à 4 sur 4
  1. #1
    Membre à l'essai
    Inscrit en
    septembre 2010
    Messages
    65
    Détails du profil
    Informations forums :
    Inscription : septembre 2010
    Messages : 65
    Points : 20
    Points
    20

    Par défaut Httponly cookies, où le placer?

    Bonjour,
    je suis plus expérimenté en Winform qu'en web,
    or là je dois apporter des corrections à un site en PHP, notamment sur les Httponly cookies. Après des recherches, il apparait que:
    - en PHP 5 on peut le configurer de manière définitive avec session.cookie_httponly = True dans le fichier PHP.ini mais pas possible en PHP4 (confirmation ?), ça aurait été trop beau et trop facile.
    - pour les versions antérieures à PHP 5 on utilise l'instruction header( "Set-Cookie: test=test; httpOnly" ) il semblerait;
    - le seul endroit du site où figure "cookie" est dans un fichier avec la variable $superglobals, ce fichier est appelé (include) pratiquement partout alors je me dis qu'il doit être le bon. Son code:
    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    <?
     
    // Émulation de register_globals à on
    if (!ini_get('register_globals')) {
       $superglobals = array($_SERVER, $_ENV,
           $_FILES, $_COOKIE, $_POST, $_GET);
       if (isset($_SESSION)) {
           array_unshift($superglobals, $_SESSION);
       }
       foreach ($superglobals as $superglobal) {
           extract($superglobal, EXTR_SKIP);
       }
    }
     
    ?>
    voilà, je sais pas où placer l'instruction set-cookie pour mettre httponly à true, je ne sais pas non plus à quel moment les cookies sont définis.

    Merci d'avance,
    Cordialement.

  2. #2
    Membre à l'essai
    Inscrit en
    septembre 2010
    Messages
    65
    Détails du profil
    Informations forums :
    Inscription : septembre 2010
    Messages : 65
    Points : 20
    Points
    20

    Par défaut

    Bonjour, encore moi.
    Ce que je vais demander va paraître peut-être élémentaire pour certains mais bon, est-ce qu'on doit s'inquiéter de la lecture des informations contenues dans les cookies via JavaScript pour un site où à aucun moment on a défini des cookies? je veux dire est que des cookies avec des informations peuvent être créés alors qu'on n'a pas fait de "Setcookie" dans le code du site?

    merci d'avance

  3. #3
    Membre confirmé Avatar de shell13010
    Homme Profil pro
    Étudiant
    Inscrit en
    mars 2008
    Messages
    271
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Distribution

    Informations forums :
    Inscription : mars 2008
    Messages : 271
    Points : 247
    Points
    247

    Par défaut

    Bonjour,

    Pour mettre httponly a true il te suffit de faire:

    Code :
    setcookie('string', 'string', time() + 3600, null, null, false, true);
    Le dernier paramètre mais httponly a true, pour se qui est de le placer?

    il faut le placer toujours avant tout code html.
    "Quelle prétention de prétendre que l'informatique est récente: Adam et Eve avaient déjà un Apple!"

  4. #4
    Membre à l'essai
    Inscrit en
    septembre 2010
    Messages
    65
    Détails du profil
    Informations forums :
    Inscription : septembre 2010
    Messages : 65
    Points : 20
    Points
    20

    Par défaut

    merci pour la réponse,
    mais j'utilise PHP4. les recherches m'ont conduit à cette instruction:
    Code :
    header( "Set-Cookie: test=test; httpOnly" );
    je crois que je dois la placer dans index.php comme première instruction juste après le <?php mais je n'en suis pas sûr. Dois-je aussi la placer dans d'autres fichier .php? Et ma question précédente intervient parce que n'ayant pas "set" de cookies, je me dis que j'ai peut-être pas à les protéger.

    Merci d'avance

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •