Discussion :

[mikael2235]

Bonjour,

Je souhaiterais utiliser les cookies sur mon site pour garder la session utilisateur connecté.
J'ai donc ajouté une case à cocher, avec comme variable $_SESSION['keeplogin']="oui" si elle est cochée.

L'action de cette case à cocher, pour envoyer ou non le cookie au moment de la connexion :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
if(isset($_SESSION['keeplogin']))
{
	if($_SESSION['keeplogin']=="oui" ){
		setcookie('pseudo',$_SESSION['logname'], time() + (3600*24*365));
	}
	if($_SESSION['keeplogin']=="non" ){
		setcookie('pseudo','', time() - (3600*24*365)); 
	}
}

Par contre, est-ce que seulement un cookie avec le pseudo suffira ? ou je dois egalement envoyer le mot de passe de connexion (en md5 ?) ?

Pour la reconnexion, je suis un peu perdu :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
  session_start();
  if (isset($_COOKIE['pseudo']) && isset($_SESSION['keeplogin']) && @$_SESSION['auth'] != "no")
  {
	$_SESSION['logname'] = $_COOKIE['pseudo'];
        $_SESSION['keeplogin'] = "oui";
     	header("Location: Login.php");
     	exit();
  }

Merci pour votre aide. Mikael

[bob633]

Je ne te conseille pas de garder le mot de passe en cookie, surtout en MD5 qui n'est plus la méthode ultra sécurisée (utilise le sha + salt).

Personnellement je stocke l'ID du membre et un GUID unique (sur plusieurs digits). Ainsi si un malin modifie l'ID, lorsque tu récupères la valeur de ton cookie, tu vérifie que l'ID correspond bien au GUID en BDD). Le GUID étant sur plusieurs caractères, aucune chance qu'il le modifie correctement.

Si tu veux te simplifier la vie, tu peux stocker un tableau dans ton cookies pour simplifier la lecture.

[mikael2235]

Merci pour ta réponse.

Dans mon cas, je pourrai utiliser comme GUID la cle d'activation du compte qui est stockée dans ma BDD (ex. f26836a70bb23322e03d863dfb2e99f4)

ça reviendrait au même, et sécuriserait autant ?

[bob633]

Merci pour ta réponse.

Dans mon cas, je pourrai utiliser comme GUID la cle d'activation du compte qui est stockée dans ma BDD (ex. f26836a70bb23322e03d863dfb2e99f4)

ça reviendrait au même, et sécuriserait autant ?

oui voilà c'est ce à quoi je pensais

Le principal étant d'avoir l'ID du membre ainsi qu'une clé qui le caractèrise. Car la modification d'un ID dans un cookie est possible donc le hack de pseudo serait trop simple. Alors qu'avec une clé unique rattaché à un pseudo, aucune chance qu'il modifie correctement son GUID.

S'il y arrive, c'est qu'il y a surement d'autres soucis à se faire (il a réussi à accéder à ta BDD peut-être pour lire cette clé)