[Sécurité] Sécurité des données dans $_SESSION

dinozor29 · 17/06/2007, 22h03

Bonjour/Bonsoir à tous,

je me pose la question suivante : Peut-on avoir confiance dans les données contenu dans $_SESSION?

Prenons un exemple simple. L'utilisateur toto se connecte, au moment de la connexion je valorise en session plusieurs variables, l'identifiant, le mot de passe encrypté, ...

Une action requiert que l'utilisateur saissise à nouveau son mot de passe (par exemple pour valider un changement dans son profil).

Est-ce que je peux me contenter de comparer le mot de passe à celui de la session, ou dois-je allé le récupérer en base?

Merci pour vos réponses.

Dinozor29

Yoshio · 17/06/2007, 22h31

On est jamais assez prudent donc vérifie les 3

Mais de toute facon ca vaut mieux de regarder avec celui stocker dans la base de données.

spawntux · 17/06/2007, 23h19

Dans tout les cas un man in the middle est possible essaie la technique dite du grain de sel .

et compare les passe crypter et non les pass en dure .

17/06/2007, 22h03	#1
dinozor29 Invité régulier Inscription : octobre 2005 Messages : 16 Détails du profil Informations forums : Inscription : octobre 2005 Messages : 16 Points : 9 Points : 9	[Sécurité] Sécurité des données dans $_SESSION Bonjour/Bonsoir à tous, je me pose la question suivante : Peut-on avoir confiance dans les données contenu dans $_SESSION? Prenons un exemple simple. L'utilisateur toto se connecte, au moment de la connexion je valorise en session plusieurs variables, l'identifiant, le mot de passe encrypté, ... Une action requiert que l'utilisateur saissise à nouveau son mot de passe (par exemple pour valider un changement dans son profil). Est-ce que je peux me contenter de comparer le mot de passe à celui de la session, ou dois-je allé le récupérer en base? Merci pour vos réponses. Dinozor29
	00

17/06/2007, 22h31	#2
Yoshio Rédacteur Inscription : septembre 2005 Messages : 1 741 Détails du profil Informations personnelles : Sexe : Âge : 24 Localisation : Belgique Informations forums : Inscription : septembre 2005 Messages : 1 741 Points : 1 497 Points : 1 497	On est jamais assez prudent donc vérifie les 3 Mais de toute facon ca vaut mieux de regarder avec celui stocker dans la base de données. __________________ Derniers articles: Envoyer un mail en PHP Introduction à l'XHTML Guide de style pour "bien" coder Utiliser une base de données pour sécuriser vos sessions Gestion d'un système de template en PHP Mon espace perso developpez.com
	00

17/06/2007, 23h19	#3
spawntux Membre expérimenté Inscription : janvier 2007 Messages : 439 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 439 Points : 519 Points : 519	Dans tout les cas un man in the middle est possible essaie la technique dite du grain de sel . et compare les passe crypter et non les pass en dure .
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email