[Sécurité] Login/logout [Résolu]

[kastha]

bonjour,
donc voila j'aimerais savoir ce qu'il faut faire concernant les sessions pour la gestion d'utilisateur (atendez !!! partez pas lol)

supposons que quelqu'un arrive sur ma page index.php
d'abord, j'initialise la session avec session_start() donc j'ai un session_id : X pour cet utilisateur (c'est un visiteur pour le moment)$

apres il se login, alors je met :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
session_destroy();
session_start();
session_regenerate_id(true);

pour detruire les precedente var session et lui atribuer un nouveau session_id : Y et je met dans une var session l'objet user qui le definit

quand il se logout
je remet :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
 session_destroy();
 session_start();
 session_regenerate_id(true);

c'est bon?

[Swoög]

Salut !

pas la peine de faire tout ça...

le session_regenerate_id ne doit servir que pour changer l'id de la session, pour éviter certaines failles du type vol de session, etc...

sinon il ne sert pas à grand chose...

De même, le session_destroy n'est pas réellement utile...
il te suffirait en fait d'effacer toutes tes variables de sessions pour avoir une nouvelle session comme neuve :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION = array();

comme ça pas de risque de te retrouver avec un "headers already sent" à cause du session_start, pas de problème de sid, pas d'appel à session_destroy (qui est censé supprimer le fichier de session, et est donc couteux) etc...