Httponly cookies, où le placer?

Version imprimable

Bonjour,
je suis plus expérimenté en Winform qu'en web,
or là je dois apporter des corrections à un site en PHP, notamment sur les Httponly cookies. Après des recherches, il apparait que:
- en PHP 5 on peut le configurer de manière définitive avec session.cookie_httponly = True dans le fichier PHP.ini mais pas possible en PHP4 (confirmation ?), ça aurait été trop beau et trop facile.
- pour les versions antérieures à PHP 5 on utilise l'instruction header( "Set-Cookie: test=test; httpOnly" ) il semblerait;
- le seul endroit du site où figure "cookie" est dans un fichier avec la variable $superglobals, ce fichier est appelé (include) pratiquement partout alors je me dis qu'il doit être le bon. Son code:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 <? // Émulation de register_globals à on if (!ini_get('register_globals')) { $superglobals = array($_SERVER, $_ENV, $_FILES, $_COOKIE, $_POST, $_GET); if (isset($_SESSION)) { array_unshift($superglobals, $_SESSION); } foreach ($superglobals as $superglobal) { extract($superglobal, EXTR_SKIP); } } ?>
voilà, je sais pas où placer l'instruction set-cookie pour mettre httponly à true, je ne sais pas non plus à quel moment les cookies sont définis.

Merci d'avance,
Cordialement.

19/11/2012, 11h36
rosert

Bonjour, encore moi.
Ce que je vais demander va paraître peut-être élémentaire pour certains mais bon, est-ce qu'on doit s'inquiéter de la lecture des informations contenues dans les cookies via JavaScript pour un site où à aucun moment on a défini des cookies? je veux dire est que des cookies avec des informations peuvent être créés alors qu'on n'a pas fait de "Setcookie" dans le code du site?

merci d'avance
19/11/2012, 15h24
shell13010

Bonjour,

Pour mettre httponly a true il te suffit de faire:

Code:

setcookie('string', 'string', time() + 3600, null, null, false, true);

Le dernier paramètre mais httponly a true, pour se qui est de le placer?

il faut le placer toujours avant tout code html.
19/11/2012, 15h30
rosert

merci pour la réponse,
mais j'utilise PHP4. les recherches m'ont conduit à cette instruction:

Code:

header( "Set-Cookie: test=test; httpOnly" );

je crois que je dois la placer dans index.php comme première instruction juste après le <?php mais je n'en suis pas sûr. Dois-je aussi la placer dans d'autres fichier .php? Et ma question précédente intervient parce que n'ayant pas "set" de cookies, je me dis que j'ai peut-être pas à les protéger.

Merci d'avance