[Cookies] Peut-on avoir 2 PHPSESSID ? [Résolu]

JackBeauregard · 23/09/2006, 00h59

Bonjour,

J'ai un petit soucis avec l'admin de mon site, admin que je suis en train de mettre au point.
Voilà :
Lorsque l'on s'identifie sur mon site, en tant que visiteur, le PHPSESSID est passé en cookie. Cela fonctionne très bien.

Maintenant dans mon admin, je veux que le PHPSESSID soit aussi passé en cookie.

Mais alors si je m'identifie comme visiteur, ce qui peux arriver pour de multiples raisons, je vais me retrouver avec 2 PHPSESSID en cookie et je me demande si ça n'est pas un problème.

Qu'en pensez-vous ?

JackBeauregard · 23/09/2006, 01h04

D'ailleurs je viens de constater que lorsque je m'identifie comme visiteur et que je vais ensuite pour m'identifier sur l'admin, le script m'affiche "vous êtes déjà identifié".

Comment puis-je faire pour bien séparer les deux parties "site" et "admin" avec deux identifications et sessions bien différentes ?

berceker united · 23/09/2006, 03h21

Citation:

Envoyé par JackBeauregard

D'ailleurs je viens de constater que lorsque je m'identifie comme visiteur et que je vais ensuite pour m'identifier sur l'admin, le script m'affiche "vous êtes déjà identifié".

Comment puis-je faire pour bien séparer les deux parties "site" et "admin" avec deux identifications et sessions bien différentes ?

Tu ne peux pas en avoir deux et cela ne sert à rien, tu peux à la limite limiter un cookie à un répertoire de ton site.
Le PHPSESSID n'est que le lien entre toi et le fichier de session présent sur le serveur. A toi de séparer les informations.
$_SESSION['site'] =xxxx
$_SESSION['admin'] =xxxx

JackBeauregard · 23/09/2006, 13h39

Salut Berceker United,

En fait sur mon site je fais ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
if( isset( $_COOKIE[ session_name() ] ) )
{
    session_start();
    //ici on compare le temps actuel avec le temps lors de l'identification
//si il y a 20 minutes sans réactualisation de page, on va tout fermer et détruire les cookie
if(time()-$_SESSION['dernier_acces']>1200) 
{
setcookie(session_name(), '', 1 ); // on détruit le cookie
//on détruit la session
$_SESSION = array();
session_destroy();
}

Donc là après l'identification, je crée un cookie et si il y a le cookie, la session est ouverte dans la page.
Passé un certain temps, la session est détruite.

Donc en fait si je passe de l'admin au site, le mieux est de me déconnecter de l'un avant de passer à l'autre, et vice-versa. Cela n'est pas un problème en soit. Mon souci concerne surtout la sécurité.

Donc je pense qu'après l'identification dans l'admin, je dois passer en SESSION[''] une variable spécifique à la zone d'identification. C'est ça ?

berceker united · 23/09/2006, 14h14

Citation:

Envoyé par JackBeauregard

Salut Berceker United,

En fait sur mon site je fais ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
if( isset( $_COOKIE[ session_name() ] ) )
{
    session_start();
    //ici on compare le temps actuel avec le temps lors de l'identification
//si il y a 20 minutes sans réactualisation de page, on va tout fermer et détruire les cookie
if(time()-$_SESSION['dernier_acces']>1200) 
{
setcookie(session_name(), '', 1 ); // on détruit le cookie
//on détruit la session
$_SESSION = array();
session_destroy();
}

Donc là après l'identification, je crée un cookie et si il y a le cookie, la session est ouverte dans la page.
Passé un certain temps, la session est détruite.

Donc en fait si je passe de l'admin au site, le mieux est de me déconnecter de l'un avant de passer à l'autre, et vice-versa. Cela n'est pas un problème en soit. Mon souci concerne surtout la sécurité.

Donc je pense qu'après l'identification dans l'admin, je dois passer en SESSION[''] une variable spécifique à la zone d'identification. C'est ça ?

Oui, concernant la securité il ne faut pas placer d'information explicite dans le cookie. genre admin = 0
site = 1

JackBeauregard · 23/09/2006, 14h51

Ok bah c'était assez simple en fait. Sinon pour le reste, je passe dans le cookie uniquement le numéro de session. Après, dans les scripts, je test non pas si le cookie existe mais bien s'il existe l'id du membre en session, ce qui ne peut être le cas que si le visiteur s'est identifié, alors qu'il peut facilement créer un cookie et le "placer" (j'ai pas le bon terme là) dans son navigateur. En fait la seul chose que fait le cookie, c'est conditionné l'initialisation de la session par session_start()

Bon pour mon admin je passe une variable en session qui lui est spécifique.

Merci

23/09/2006, 00h59	#1
JackBeauregard Inscrit Inscription : juin 2006 Messages : 531 Détails du profil Informations forums : Inscription : juin 2006 Messages : 531 Points : 225 Points : 225	[Cookies] Peut-on avoir 2 PHPSESSID ? Bonjour, J'ai un petit soucis avec l'admin de mon site, admin que je suis en train de mettre au point. Voilà : Lorsque l'on s'identifie sur mon site, en tant que visiteur, le PHPSESSID est passé en cookie. Cela fonctionne très bien. Maintenant dans mon admin, je veux que le PHPSESSID soit aussi passé en cookie. Mais alors si je m'identifie comme visiteur, ce qui peux arriver pour de multiples raisons, je vais me retrouver avec 2 PHPSESSID en cookie et je me demande si ça n'est pas un problème. Qu'en pensez-vous ?
	00

23/09/2006, 01h04	#2
JackBeauregard Inscrit Inscription : juin 2006 Messages : 531 Détails du profil Informations forums : Inscription : juin 2006 Messages : 531 Points : 225 Points : 225	D'ailleurs je viens de constater que lorsque je m'identifie comme visiteur et que je vais ensuite pour m'identifier sur l'admin, le script m'affiche "vous êtes déjà identifié". Comment puis-je faire pour bien séparer les deux parties "site" et "admin" avec deux identifications et sessions bien différentes ?
	00

23/09/2006, 14h51	#6
JackBeauregard Inscrit Inscription : juin 2006 Messages : 531 Détails du profil Informations forums : Inscription : juin 2006 Messages : 531 Points : 225 Points : 225	Ok bah c'était assez simple en fait. Sinon pour le reste, je passe dans le cookie uniquement le numéro de session. Après, dans les scripts, je test non pas si le cookie existe mais bien s'il existe l'id du membre en session, ce qui ne peut être le cas que si le visiteur s'est identifié, alors qu'il peut facilement créer un cookie et le "placer" (j'ai pas le bon terme là) dans son navigateur. En fait la seul chose que fait le cookie, c'est conditionné l'initialisation de la session par session_start() Bon pour mon admin je passe une variable en session qui lui est spécifique. Merci
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email