Discussion :

[alain78]

Bonjour,

J'espère poster dans le bon forum, car je n'ai pas trouvé de forum sur la sécurité.

Voici mon souci.

Pour renforcer la sécurité d'accès à mon site, je souhaite identifier l'utilisateur AVANT de lui ouvrir une session (session_start).

J'utilise donc :
- le fichier index.php dans lequel l'utilisateur saisit son identifiant et son mot de passe dans un formulaire qui est soumis au fichier 'verif.php'

- le fichier 'verif.php' qui contrôle l'identifiant, le mot de passe, et d'autres paramètres de sécurité. Si tout est OK l'accès au site est donné à l'utilisateur via un 'heading:location' sur un fichier 'accueil.php'

Mon souci est:
- actuellement je suis obligé d'ouvrir un session dans le deuxième script pour pouvoir transmettre l'identifiant interne de l'utilisateur au 3ème script via une variable de SESSION (pour ne pas transiter par le web). Cela signifie que la session est ouverte AVANT l'identification de l'utilisateur car, vous le savez, il est obligatoire que la ligne de code (session_start) soit la première du script.

Cela ne me satisfait pas en terme de sécurité. Et surtout je ne veux pas transmettre l'identifiant de l'utilisateur via un paramètre du heading qui transiterait et serait donc visible sur le web.

Avez vous une suggestion ?

Merci par avance.

[grunk]

En quoi le fait d'ouvrir une session est un problème ? On parle ici de session PHP et pas de session d'authentification.
Les session PHP sont avant tout un système de "persistance" de données. Il se trouve que c'est pratique pour l'identification des utilisateurs mais les deux ne sont pas liés.

Dans ce que tu expliques , ton utilisateur est identifié dans le second fichier puisque c'est là que tu vérifie toutes les données. Si tu as toutes les infos pour identifier un utilisateur pourquoi les transmettre à un Nième fichier ?

Pour finir tu peux très bien avoir une session associée à un utilisateur tout en autorisant pas la connexion, simplement avec une variable à vérifier :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$_SESSION['id'] = 12;
$_SESSION['isConnected'] = false;
//[...]
if($_SESSION['isConnected'])
  //accès au site
else
  // pas authentifié