[Sécurité] Sessions et session_regenerate_id() ?

nesswaw · 19/09/2007, 20h23

Bonjour à tous,

J'ai quelque questions qui me tracasse sur les sessions et pour la sécurité de mon panel d'admin.

1) Quand on fait "session_destroy", le contenu du fichier est effacer mais pas le fichier lui même...Comment faire pour que le fichier s'efface du serveur ?

2) un "session_regenerate_id()" recrée une new session avec les info dedans, mais là aussi le fichier nest pas effacer et il contient toujours les info dans l'ancienne session, comment palier ce problème ?

3) Enfin je cherche une méthode asser fiable pour sécuriser les sessions, si vous avez 2-3 astuces à me donner -> cool

Voilà, un grand merci à celui, ceux qui me répondent

.

gloubi · 19/09/2007, 20h28

ça dépend de la façon dont son gérés tes sessions (BDD ou fichier). Vu qu'il semble que tu sois dans le cas des fichiers, il te faut alors supprimer le fichier (exec, shell_exec).
A prioris, il n'y a pas de probleme de sécurité avec les fichiers créé si les droits sur le répertoire ou ils sont stockés sont bien gérés. Cela est plus problematique si ils sont dans le repertoire /tmp et que le serveur est partagé. Dans tous les cas, il te faut le chemin du repertoire et les droits nécessaires pour supprimer le fichier.

N1bus · 19/09/2007, 20h32

session_regenerate_id(true);

PHP5 ( à partir de 5.1.0)
paramètre : bool delete_old_session Si l'on doit effacer l'ancien fichier de session associé ou pas. Par défaut, FALSE. Voir DOC PHP

nesswaw · 19/09/2007, 20h33

Cela fonctionne avec des fichiers.

C'est sur un serveur mutualisé, donc partagé, pour accèder au dossier tmp je pense pas que j'ai les droits...

Sinon pour le session_regenerate_id(), comment effacer les données de l'ancien fichier ? et aussi le dossier tmp se vide automatiquement ? au bout de combien de temps ?

Merci d'avance

19/09/2007, 20h23	#1
nesswaw Nouveau Membre du Club Inscription : juillet 2007 Messages : 117 Détails du profil Informations forums : Inscription : juillet 2007 Messages : 117 Points : 25 Points : 25	[Sécurité] Sessions et session_regenerate_id() ? Bonjour à tous, J'ai quelque questions qui me tracasse sur les sessions et pour la sécurité de mon panel d'admin. 1) Quand on fait "session_destroy", le contenu du fichier est effacer mais pas le fichier lui même...Comment faire pour que le fichier s'efface du serveur ? 2) un "session_regenerate_id()" recrée une new session avec les info dedans, mais là aussi le fichier nest pas effacer et il contient toujours les info dans l'ancienne session, comment palier ce problème ? 3) Enfin je cherche une méthode asser fiable pour sécuriser les sessions, si vous avez 2-3 astuces à me donner -> cool Voilà, un grand merci à celui, ceux qui me répondent .
	00

19/09/2007, 20h32	#3
N1bus Rédacteur/Modérateur Inscription : janvier 2003 Messages : 2 018 Détails du profil Informations personnelles : Âge : 47 Localisation : France, Charente Maritime (Poitou Charente) Informations forums : Inscription : janvier 2003 Messages : 2 018 Points : 1 992 Points : 1 992	session_regenerate_id(true); PHP5 ( à partir de 5.1.0) paramètre : bool delete_old_session Si l'on doit effacer l'ancien fichier de session associé ou pas. Par défaut, FALSE. Voir DOC PHP __________________ N1bus Modérateur Web / PHP Aucune demande technique ne sera traitée par MP . Merci PHP/GD : Génération d'un code-barre Code 39 FCKEditor : Modifier la largeur des listes déroulantes PHP/e-Commerce : Installation d'une solution de paiement en ligne SIPS-ATOS
	00

19/09/2007, 20h28	#2
gloubi Membre expérimenté Inscription : mai 2002 Messages : 673 Détails du profil Informations forums : Inscription : mai 2002 Messages : 673 Points : 532 Points : 532	ça dépend de la façon dont son gérés tes sessions (BDD ou fichier). Vu qu'il semble que tu sois dans le cas des fichiers, il te faut alors supprimer le fichier (exec, shell_exec). A prioris, il n'y a pas de probleme de sécurité avec les fichiers créé si les droits sur le répertoire ou ils sont stockés sont bien gérés. Cela est plus problematique si ils sont dans le repertoire /tmp et que le serveur est partagé. Dans tous les cas, il te faut le chemin du repertoire et les droits nécessaires pour supprimer le fichier.
	00

19/09/2007, 20h33	#4
nesswaw Nouveau Membre du Club Inscription : juillet 2007 Messages : 117 Détails du profil Informations forums : Inscription : juillet 2007 Messages : 117 Points : 25 Points : 25	Cela fonctionne avec des fichiers. C'est sur un serveur mutualisé, donc partagé, pour accèder au dossier tmp je pense pas que j'ai les droits... Sinon pour le session_regenerate_id(), comment effacer les données de l'ancien fichier ? et aussi le dossier tmp se vide automatiquement ? au bout de combien de temps ? Merci d'avance
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email