[Cookies] Cookies et sessions

TNorth · 18/05/2006, 18h00

Bonjour,
Dans une appli web, je passe systématiquement les PHPSESSID (sid=....) dans l'URL, le prob, c'est:

C'est pas "propre"
C'est pas sécurisé (vol de sid)

J'aimerai plutôt envoyer un cookie de session... mais pour php<4.3, ce n'est pas automatique ! (après, si suffit d'utiliser le flag session.use_only_cookies)

Maintenant, je ne sais pas quelle est la façon la plus judicieuse de provoquer l'envoi d'un cookie à l'ouverture de la session.....
et les sid, je peux les laisser complètement tomber dans les URL ?
Qu'utilisez vous ?
Merci !!

Swoög · 18/05/2006, 18h57

Pour ce qui est de la configuration en elle-même, regarde le tuto indiqué en lien dans ma signature

ensuite, n'oublie pas que les cookies peuvent toujours être bloqués... donc activer use_only_cookie peut également provoquer des problèmes à l'utilisation

TNorth · 18/05/2006, 19h38

Hello,
Merci pour le lien.

Mais en fait je voulais en particulier savoir comment gérer au mieux mes sessions: si mon application doit tounrer sur un hébergeur qui a sess.use_cookies=0 et session.use_only_cookies=0, le gros risque est qu'une fois loggué, le SID ne soit pas transmit.

J'aimerai utiliser les cookies de préférence, mais prévoir le cas ou ils sont refusés. Est-ce un bon choix, ou bien les cookies vont "l'emporter" dans le futur (use_only_cookies apparu dans php4.3 pour des raisons de vol de sid)
Est-ce très handicapant de ne pas pouvoir accéder au site sans ce cookie ?

(évidement le plus simple est simplement de supprimer tout de l'URL pour garder l'identification par cookie

)

Swoög · 18/05/2006, 20h33

bah le problème c'est que si les cookies sont bloqués, le SID ne sera plus transmis donc les sessions ne fonctionneront plus, ensuite c'est toi qui fait tes choix... je pense que le mieux c'est use_cookies mais pas use_only_cookie, comme ça, si les cookies sont désactivés, tu auras toujours le SID

Kioob · 19/05/2006, 00h13

En tous cas sur mes serveurs c'est trans_sid à off, et use_only_cookies à on.

Après tout, c'est aussi pour la sécurité des utilisateurs. Je préfère les éduquer un minimum, qu'ils arrêtent cette parano anti-cookie, plutôt que de devoir activer le trans_sid sur mes machines.

Swoög · 19/05/2006, 00h15

Citation:

Envoyé par Kioob

En tous cas sur mes serveurs c'est trans_sid à off, et use_only_cookies à on.

Après tout, c'est aussi pour la sécurité des utilisateurs. Je préfère les éduquer un minimum, qu'ils arrêtent cette parano anti-cookie, plutôt que de devoir activer le trans_sid sur mes machines.

Oui, je suis 100% d'accord, si je devais monter une config de prod, c'est ce que je ferais aussi ^^

Kioob · 19/05/2006, 00h22

18/05/2006, 18h00	#1
TNorth Membre à l'essai Inscription : novembre 2003 Messages : 44 Détails du profil Informations forums : Inscription : novembre 2003 Messages : 44 Points : 20 Points : 20	[Cookies] Cookies et sessions Bonjour, Dans une appli web, je passe systématiquement les PHPSESSID (sid=....) dans l'URL, le prob, c'est: C'est pas "propre" C'est pas sécurisé (vol de sid) J'aimerai plutôt envoyer un cookie de session... mais pour php<4.3, ce n'est pas automatique ! (après, si suffit d'utiliser le flag session.use_only_cookies) Maintenant, je ne sais pas quelle est la façon la plus judicieuse de provoquer l'envoi d'un cookie à l'ouverture de la session..... et les sid, je peux les laisser complètement tomber dans les URL ? Qu'utilisez vous ? Merci !!
	00

18/05/2006, 18h57	#2
Swoög Rédacteur Inscription : janvier 2003 Messages : 6 053 Détails du profil Informations personnelles : Âge : 24 Informations forums : Inscription : janvier 2003 Messages : 6 053 Points : 7 144 Points : 7 144	Pour ce qui est de la configuration en elle-même, regarde le tuto indiqué en lien dans ma signature ensuite, n'oublie pas que les cookies peuvent toujours être bloqués... donc activer use_only_cookie peut également provoquer des problèmes à l'utilisation __________________ Rédacteur "éclectique" (XML, IRC, Web...) Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC) je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque ! pensez à la balise [code] (bouton #) et au tag (en bas)
	00

18/05/2006, 20h33	#4
Swoög Rédacteur Inscription : janvier 2003 Messages : 6 053 Détails du profil Informations personnelles : Âge : 24 Informations forums : Inscription : janvier 2003 Messages : 6 053 Points : 7 144 Points : 7 144	bah le problème c'est que si les cookies sont bloqués, le SID ne sera plus transmis donc les sessions ne fonctionneront plus, ensuite c'est toi qui fait tes choix... je pense que le mieux c'est use_cookies mais pas use_only_cookie, comme ça, si les cookies sont désactivés, tu auras toujours le SID __________________ Rédacteur "éclectique" (XML, IRC, Web...) Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC) je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque ! pensez à la balise [code] (bouton #) et au tag (en bas)
	00

18/05/2006, 19h38	#3
TNorth Membre à l'essai Inscription : novembre 2003 Messages : 44 Détails du profil Informations forums : Inscription : novembre 2003 Messages : 44 Points : 20 Points : 20	Hello, Merci pour le lien. Mais en fait je voulais en particulier savoir comment gérer au mieux mes sessions: si mon application doit tounrer sur un hébergeur qui a sess.use_cookies=0 et session.use_only_cookies=0, le gros risque est qu'une fois loggué, le SID ne soit pas transmit. J'aimerai utiliser les cookies de préférence, mais prévoir le cas ou ils sont refusés. Est-ce un bon choix, ou bien les cookies vont "l'emporter" dans le futur (use_only_cookies apparu dans php4.3 pour des raisons de vol de sid) Est-ce très handicapant de ne pas pouvoir accéder au site sans ce cookie ? (évidement le plus simple est simplement de supprimer tout de l'URL pour garder l'identification par cookie )
	00

19/05/2006, 00h13	#5
Kioob Membre chevronné Olivier Bonvalet Inscription : septembre 2004 Messages : 550 Détails du profil Informations personnelles : Nom : Olivier Bonvalet Âge : 32 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : septembre 2004 Messages : 550 Points : 723 Points : 723	En tous cas sur mes serveurs c'est trans_sid à off, et use_only_cookies à on. Après tout, c'est aussi pour la sécurité des utilisateurs. Je préfère les éduquer un minimum, qu'ils arrêtent cette parano anti-cookie, plutôt que de devoir activer le trans_sid sur mes machines.
	00

19/05/2006, 00h22	#7
Kioob Membre chevronné Olivier Bonvalet Inscription : septembre 2004 Messages : 550 Détails du profil Informations personnelles : Nom : Olivier Bonvalet Âge : 32 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : septembre 2004 Messages : 550 Points : 723 Points : 723
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email