Discussion :

[syl202]

Bonjour,

Dans bcp de tutoriels concernant la gestion des utilisateurs, je ne comprends pas le test pour vérifier si c'est un utilisateur connecté ou quelqu'un d'autre. A chaque fois, ça ressemble à :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if (isset($_SESSION['pseudo']))
{
    echo 'Bonjour ' . $_SESSION['pseudo'];
}

Mais qu'est ce qui dit qu'un pirate n'a pas créé une session avec un outil genre Firebug avec ce nom là pour se substituer à un autre utilisateur ? Est ce qu'il ne faut pas en plus mettre le mot de passe hashé dans la session et ajouter lors du test :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

AND ($_SESSION['mdp']==$mdp_hashe_stockee_dans_bdd)

Merci par avance !

[syl202]

je n'avais pas compris que $_SESSION était uniquement côté serveur. Du coup, je comprends mieux mais ça me donne une deuxième question : comment le serveur fait pour identifier que le client qui fait appel à cet index.php est bien celui pour lequel on avait crée $_SESSION ?

[sabotage]

La session est identifié par un id qui transite soit par cookie soit dans l'url.
http://a-pellegrini.developpez.com/t...sion-securite/

[syl202]

ok merci pour le lien, je vais lire ça.