[Sécurité] Classe Session réutilisable [Archives]

**Amnesiak** · 15/09/2005, 11h06

Bonjour à tous,

Bénéficiant d'une approche orientée objet depuis PHP5, je me suis penché sur la réalisation d'une classe Session qui aurait pour but de simplifier l'utilisation des sessions. Elle permettrait par exemple d'accéder aux variables de session à l'aide de méthode get/set, d'appeler automatiquement session_start() dans le constructeur de l'objet, et d'implémenter un petit mécanisme d'authentification.

Bien évidemment le tout se devrait suffisamment flexible et générique afin d'être facilement réutilisable pour n'importe quel projet futur.

La méthode login se contente d'enregistrer une variable de session spécifique (authentication_ip) qui contient l'adresse IP du client qui soumet la demande, ainsi qu'une série de variable additionelles (typiquement, ce sera l'ID du membre, le login de la personne, etc...)

La méthode logout détruit la session

La méthode isLogged sera utilisée pour déterminer si le client est identifié ou non. Le test se base simplement sur l'adresse IP.

Selon vous, et tenant compte de tous les problemes de sécurité, ce dernier test est-il suffisant ? Quels sont, pour votre part, les tests que vous effectuez pour vérifier qu'un client s'est correctement identifié ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
class Session {
 
    function __construct() {
        session_start();
    }
 
    public function getValue($key) {
        return isset($_SESSION[$key]) ? $_SESSION[$key] : FALSE;
    }
 
    public function setValue($key, $value) {
        $_SESSION[$key] = $value;
    }
 
    public function login($pValues = array()) {
        $_SESSION['authentication_ip'] = $_SERVER['REMOTE_ADDR'];
        foreach ($pValues as $key => $value) {
            $_SESSION[$key] = $value;
        }
    }
 
    public function logout() {
        session_unset();
        session_destroy();
    }
 
    public function isLogged() {
         return isset($_SESSION['authentication_ip']) &&
                $_SESSION['authentication_ip'] == $_SERVER['REMOTE_ADDR'];
    }
}

PS: Toute suggestion/amélioration/critique concernant la classe est la bievenue !

Merci

**ska_root** · 15/09/2005, 11h31

pour securiser par l'ip moi j'utilise cette bride de code que j'ai chopé un jour sur phpbuilder.com y'a un moment de cela... php5 n'existait pas.
a toi de travailler pour l'intégration ;-)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
function _getIpForSecure (){
 
   if (isset ($_SERVER['HTTP_X_FORWARDED_FOR']) && $_SERVER['HTTP_X_FORWARDED_FOR']){
      $IP_ADDR = $_SERVER['HTTP_X_FORWARDED_FOR'];
   }else if (isset ($_SERVER['HTTP_CLIENT_IP']) && $_SERVER['HTTP_CLIENT_IP']){
      $IP_ADDR =  $_SERVER['HTTP_CLIENT_IP'];
   }else{
      $IP_ADDR = $_SERVER['REMOTE_ADDR'];
   }
 
   // cherche IP serveur et la traite
   $FIRE_IP_ADDR = $_SERVER['REMOTE_ADDR'];
   $ip_resolved = gethostbyaddr($FIRE_IP_ADDR);
   // construit la chaine d'identification serveur IP
   $FIRE_IP_LITT = ($FIRE_IP_ADDR != $ip_resolved && $ip_resolved) ? $FIRE_IP_ADDR." - ". $ip_resolved : $FIRE_IP_ADDR;
   // construit la chaine d'identification client IP
   $toReturn = ($IP_ADDR != $FIRE_IP_ADDR) ? "$IP_ADDR | $FIRE_IP_LITT" : $FIRE_IP_LITT;
   return $toReturn;
 
}
 
function getUserConnected () {
 
   $secure_with_ip_passed = 0;
 
   if(!isset($_SESSION['secure_with_ip_name'])) {
      $_SESSION['secure_with_ip_name'] = _getIpForSecure();
   }
   else {
      $secure_with_ip_passed = ($_SESSION['secure_with_ip_name'] == _getIpForSecure ());
   }   
   return $secure_with_ip_passed;
 
}

C'est interressant, tiens nous au courant de ton travail merci.

**loufoque** · 15/09/2005, 13h10

La logique voudrait que ta classe soit statique ou soit un singleton, étant donné qu'on ne manipule pas des instances de sessions (on pourrait, mais le module de PHP en est incapable).

**Amnesiak** · 22/09/2005, 11h23

Envoyé par ska_root

pour securiser par l'ip moi j'utilise cette bride de code que j'ai chopé un jour sur phpbuilder.com y'a un moment de cela... php5 n'existait pas.

Merci je vais regarder comment intégrer tout ça

Envoyé par loufoque

La logique voudrait que ta classe soit statique ou soit un singleton, étant donné qu'on ne manipule pas des instances de sessions (on pourrait, mais le module de PHP en est incapable).

Remarque très intéressante, voici donc une version corrigée de ma classe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
class Session { 
 
    private static $instance;
 
    public static function getInstance() {
        if (!isset(self::$instance)) {
            self::$instance = new Session();
        }
        return self::$instance;
    }
 
    private function __construct() { 
        session_start(); 
    } 
 
    public function getValue($key) { 
        return isset($_SESSION[$key]) ? $_SESSION[$key] : FALSE; 
    } 
 
    public function setValue($key, $value) { 
        $_SESSION[$key] = $value; 
    } 
 
    public function login($pValues = array()) { 
        $_SESSION['authentication_ip'] = $_SERVER['REMOTE_ADDR']; 
        foreach ($pValues as $key => $value) { 
            $_SESSION[$key] = $value; 
        } 
    } 
 
    public function logout() { 
        session_unset(); 
        session_destroy(); 
    } 
 
    public function isLogged() { 
         return isset($_SESSION['authentication_ip']) && 
                $_SESSION['authentication_ip'] == $_SERVER['REMOTE_ADDR']; 
    } 
}

Quelqu'un a-t-il d'autres suggestions ou remarques en tous genres

: Merci

**mathieu** · 22/09/2005, 11h34

il y a déjà eu une discution à ce sujet dans le post-it suivant :
http://www.developpez.net/forums/viewtopic.php?t=202446

**kanzarih** · 21/07/2009, 19h42

Salut a tous

bon voila, j'ai vu un code qui me fait tourner la tête !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
class Session { 
 
    private static $instance;
 
    public static function getInstance() {
        if (!isset(self::$instance)) {
            self::$instance = new Session();
        }
        return self::$instance;
    }
...

je pense que la fonction getInstance() ne retourne pas une instance de session! mais elle crée une nouvelle (déjà avec une nouvelle variable $instance vide) non?

en plus je ne voit pas l'utilité vu que vous allez écrire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
...
$masession = new session;
$manouvellesession = $masession->getinstance();
...

alors pourquoi crée une instance a partir d'une déjà crée et dont vous posséder déjà une référence sur elle?

corrigez moi si...!

**Celira** · 23/07/2009, 13h41

ça ne fonctionne pas comme ça. La méthode getInstance est statique, ce qui permet de l'utiliser sans avoir à instancier au préalable (en fait, elle sert à instancier). De plus, elle ne crée une nouvelle instance que si il n'en existe pas déjà une.

**lon-va** · 25/02/2011, 12h10

@kanzarih: C'est un Singleton

[Sécurité] Classe Session réutilisable [Archives]

Langage PHP

Discussions similaires

Partager

Partager