Discussion :

[pas30]

Bonjour,

Je cherche la meilleure méthode de transmission de l'identifiant de session d'une page à une autre. Jusqu'à maintenant j'utilisais les cookies et seulement les cookies mais j'ai des pertes de sessions et des cookies qui ne se créent pas correctement. Tout çà est dommage car pour une partie de mon site j'utilise les sessions pour stocker des informations qui n'ont pas une très grande importance, voler la session n'a pas d'importance en soit car il n'y a que des informations sur le site que l'on vient de visiter et des paramètres liés à la campagne.
Je pensais utiliser l'autre méthode en récupérant l'id de session en cours soit la valeur PHPSESSID sans mettre le paramètre session.trans_id() à 1
Que pensez vous de cette solution ? Elle devrait me permettre de ne plus perdre la moindre session
Mais j'ai entendu parler de problème de référencement dû au fait que la valeur PHPSESSID est dans les liens du site
Enfin comment fait-on pour cette méthode ?
Car on passe le SID par formulaire ou par href çà c'est ok mais après sur la page suivante on fait quoi pour récupérer cette valeur et démarrer la session ?
Pour ce que j'ai à faire, il ne me faut pas du code sécurisé mais un code performant soit aucune perte de session.
Merci

[Sub0]

Salut

Soit tes utilisateurs acceptent les cookies et dans ce cas, tu n'as pas besoin d'utiliser session.trans_id(), soit ils ne les acceptent pas et dans ce cas, tu les obliges à utiliser les cookies ou soit tu utilises session.trans_id().

Dans tous les cas, session.trans_id() n'est dangereux que si l'ID qui se trouve dans l'url permet de se connecter à la place de son propriétaire. Par exemple, en regénérant l'ID à chaque visite, il ne devrait pas permettre le vol de session...

[pas30]

je comprends pas bien ta réponse en fait
Mes recherches sur google contredisent complètement ce que tu dis
session.trans_id permettrait simplement de rendre automatique le passage de l'id de session d'une page à une autre donc php ajouterait seul les PHPSESSID
J'ai lu que l'id de session est toujours là dans la variable PHPSESSID, donc pour la transmettre faudrait juste coller dans les url .SID
Actuellement mon paramétrage est session.use_cookies=1 et session_use_only_cookies=0 et session_trans_id=0 donc ils utilisent les cookies mais pas seulement les cookies pour transmettre l'id de session mais ils ne passent pas automatiquement l'id de session
Comment savoir si le cookie sera accepté ou non ?

[Sub0]

Apparemment, tu as compris mon post.
Ta configuration est correcte -> Si tes visiteurs n'acceptent pas les cookies, les sessions ne fonctionneront pas.

Pour tester si un utilisateur accepte les cookies, tu peux le faire soit en Javascript, soit avec PHP, en testant le bon fonctionnement : Tu crées un cookies et lorsque l'utilisateur validera un formulaire, tu pourras tester si tu arrives à récupérer les données ce cookie...