Discussion :

[nesswaw]

Bonjour à tous,

J'ai quelque questions qui me tracasse sur les sessions et pour la sécurité de mon panel d'admin.

1) Quand on fait "session_destroy", le contenu du fichier est effacer mais pas le fichier lui même...Comment faire pour que le fichier s'efface du serveur ?

2) un "session_regenerate_id()" recrée une new session avec les info dedans, mais là aussi le fichier nest pas effacer et il contient toujours les info dans l'ancienne session, comment palier ce problème ?

3) Enfin je cherche une méthode asser fiable pour sécuriser les sessions, si vous avez 2-3 astuces à me donner -> cool

Voilà, un grand merci à celui, ceux qui me répondent .

[gloubi]

ça dépend de la façon dont son gérés tes sessions (BDD ou fichier). Vu qu'il semble que tu sois dans le cas des fichiers, il te faut alors supprimer le fichier (exec, shell_exec).
A prioris, il n'y a pas de probleme de sécurité avec les fichiers créé si les droits sur le répertoire ou ils sont stockés sont bien gérés. Cela est plus problematique si ils sont dans le repertoire /tmp et que le serveur est partagé. Dans tous les cas, il te faut le chemin du repertoire et les droits nécessaires pour supprimer le fichier.

[N1bus]

session_regenerate_id(true);

PHP5 ( à partir de 5.1.0)
paramètre : bool delete_old_session Si l'on doit effacer l'ancien fichier de session associé ou pas. Par défaut, FALSE. Voir DOC PHP

[nesswaw]

Cela fonctionne avec des fichiers.

C'est sur un serveur mutualisé, donc partagé, pour accèder au dossier tmp je pense pas que j'ai les droits...

Sinon pour le session_regenerate_id(), comment effacer les données de l'ancien fichier ? et aussi le dossier tmp se vide automatiquement ? au bout de combien de temps ?

Merci d'avance