[Sécurité] Une question sur les sessions PHP [Résolu]

[DaRiaN]

Bonjour,
Je me pose une question depuis bien longtemps, et aujourd'hui, j'ai décidé d'en connaître à la réponse.

Est ce qu'il y a un moyen simple, pour un visiteur de mon site, de visualiser une ou toutes les variables de sessions créées durant sa propre session.

Je suis en train de créer un quiz en QCM et j'aimerais sauvegarder la réponse de la question dans une variable de session. Et ceci, pour économiser une requête sql (celle qui vérifie la réponse)... mais si le visiteur peut, d'une façon ou d'une autre, visualiser la variable de session contenant la réponse, ça me pose un problème.

Le dossier sessions qui stock les cookies de session sur le serveur, n'est pas dans le dossier www, donc il n'est pas accessible au public via le protocole HTTP.

Par contre, ça m'embête... même si y a une méthode difficile pour recupérer les variables de session de sa propre session... J'aimerais trouver un truc pas trop lourd en ressource mais sécurisé... y a une chance avec les sessions php ou faut préférer la méthode bien lourde qui consiste à faire passer l'id de la question sur la page suivante (via une variable de session) pour ensuite refaire une requête sql pour vérifier si la réponse est bonne... un point c'est tout?

Quelqu'un pourrait-il m'éclairer... merci d'avance.

[KiLVaiDeN]

Aucun moyen pour l'utilisateur de voir les variables de session SAUF si ton application a une faille de sécurité qui le permet ( par exemple des chemins d'includes en URL ou en POST, qui lui permettrait de mettre un chemin vers son propre fichier include )

La seule information qui transite au niveau client est le numéro de session : le reste, comme tu l'as vu, réside sur le serveur et n'est accessible, en principe, que via un script PHP.

A+

[DaRiaN]

Je vous remercie pour cette réponse rapide, elle me convient et me rassure LoL