[Sécurité] Sécuriser zone membre

[Pepito2030]

Salut !

Pour identifier les membres sur mon site, j'ai choisi de n'utiliser que les sessions et pas de cookie. La session expire toutes les X minutes.

En haut de chaque page, j'ai placé un "session_start()".

Question 1 :

A chaque fois qu'un membre s'identifie, je vérifie que son pseudo/mot de passe existe bien. Si oui, je passe son PSEUDO, son IDMEMBRE en SESSION.

De là, lorsque qu'il visite une page, je vérifie à chaque page affichée que son PSEUDO/IDMEMBRE passé en SESSION existe bien dans la bdd via une simple requete SQL.

=> c'est pour etre sure que le membre identifié existe bien... est ce utile ? du fait que j'ai deja vérifié les informations du membre au moment de l'indentification ?

Question 2 :

=> Est ce que si j'ajoute un "session_regenerate_id()" sur chaque page, cela diminue les chances de pirater la session active ?? est ce utile ? est ce que cela ne va pas surcharger le serveur si il y a beaucoup de connecter sur le site ? (plus de 500 à la seconde).

Question 3 :

Combien coute la mise en place, l'utilisation d'un serveur SSL ? Est ce que l'on peut utiliser ce protocole sur plusieurs sites ? Est ce que l'on peut utiliser ce protocole pour un dossier bien précis ? (la zone membre par exemple).

Merci pour vos réponses !

[alain31tl]

Salut

Je vais répondre à ta question 1.

L’objectif d’une session (php) est de pouvoir collecter différentes informations ($variables) concernant un utilisateur et de les avoir « sous la main » dans les différentes pages visitées, et ceci, tant que l’utilisateur reste connecté (navigateur).
Ces variables sont accessibles dés lors que les pages contiennent au début un session_start().
En résumé, une démarche de vérification sur chaque page, et par une requête sql est totalement inutile puisque c’est la destination originale des sessions.