Hello,
J'essaie de me débrouiller en php/mysql mais jusqu'ici la sécurité ne me préoccupait pas vraiment. J'essaie maintenant de me renseigner sur quelques attitudes à avoir histoire de minimiser quand même les risques...
Je lisais en particulier ce tuto sur la sécurisation des sessions. Malheureusement je ne comprends pas grand chose...
Prenons un cas concret: sur un site j'utilise des variables de sessions pour stocker les variables de connexion des membres:
Code php : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5 $_SESSION['logged'] = true; $_SESSION['logout_time'] = time() + 3600 * 3; $_SESSION['member_id'] = $infos_du_membre['id_membres']; //Id du membre $_SESSION['member_login'] = $login; //Pseudo du membre $_SESSION['member_first_name'] = $infos_du_membre['prenom']; //Prénom du membre
Dans le tuto, l'auteur conseille différents trucs à propos des identifiants de session: qu'ils soient initiés par le serveur, non prédictibles et forgés après authentification...
Moi dans mon cas, avec mes pauvres valeurs session, j'ai aucune idée de ce qui se passe sur le serveur lorsque je les implémante... j'ai aucune idée de ce que c'est l'identifiant de session, qui le définit (si c'est le serveur ou l'application)... bref... je nage au niveau de ce fameux identifiant de session... Quelqu'un aurait-il une bouée?
Partager