Discussion :

[Anduriel]

Salut,
Si sur mon site je vérifie mes pages avec un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if (@$_SESSION['admin'] == true)

et que quelqu'un qui vient d'un autre site avec cette session à true, peut-il accéder à la page en question?
Ca parait bête mais je préfère être sûr...
Merci

[Anduriel]

Une autre question sécurité:
Quand l'utilisateur s'identifie, il peut utiliser des cookies pour rester identifié au prochaine passage.
Si mon cookie contient "OK", est-ce que un utilisateur peut créer un faux cookie contenant ce OK et paraitre identifié?
Ou faut-il que j'y mette son pseudo, mot de passe, et que je revérifie tout?

Merci

[Yogui]

Salut

Pour ta première question : la session (la variable $_SESSION) est propre à ton serveur. Si le client ferme le navigateur, cela suffit pour vider la session. Il y a un rapport avec les cookies et/ou la propagation automatique de l'id de session mais je maîtrise mal ce domaine...

Concernant les cookies, oui, s'il suffit de mettre "ok" dans ton cookie, alors n'importe qui peut s'identifier en modifiant son cookie.
Une solution serait de créer un identifiant unique (un truc qui change à chaque session : pas seulement "ok" ou une combinaison de login/mdp), de le mettre dans la table utilisateur ainsi que dans le cookie puis faire autant de comparaisons que possible au moment du login.

[Anduriel]

Ok merci