Voilà, j'ai un petit jeu PHP qui tourne depuis plusieurs moi maintenant avec environ 150 - 200 utilisateurs / jours, mais voilà que cette nuit, j'ai eu droit à la 1er tentative de hack réussie...
Le hack en question, c'est quelqun qui a réussi à se connecter avec le compte d'un autre... Comment il a fait, j'en sais rien, et je cherche encore.
Quiqu'il en soit, je soupsonne évidemment un problème de cookie voir de récupération d'ID de session...
Je me proposais donc d'ajouter la sécurité suivante : je stock en session l'IP de la machine au moment du login, et a chaque rafraichissement de page, je test si $_SESSION['ip'] == $_SERVER['REMOTE_ADDR']
Avant d'implémenter ça, je voudrais avoir vos avis, et surtout, je voudrais m'assurer que (contrairement aux sessions) la variable $_server sera bien remise à jour à chaque rafraichissement de la page (a prioris, je suppose)...
En vous remerciant par avance
Partager