Transmission de l'indentifiant

**grassel** · 23/03/2009, 09h22

bon jour à tous

Voici le code cause de mes petits ennuis :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<?php
session_start();
echo session_id();
echo $_COOKIE['PHPSESSID'];
exit;
?>

L'exécution donne ceci :

8tcqees36ug30gd033lbuds3f3
Notice: Undefined index: PHPSESSID in I:\Admin_Serveur_Wamp\www\vieuxcha\xxxindex.php on line 6

La ligne 6 est bien sûr echo $_COOKIE['PHPSESSID'];.

Lorsque j'actualise ma page appelée, l'avertissement disparaît et je récupère bien sûr le contenu du cookie. Comportement normal, si j'ai bien compris comment PHP gère l'identifiant.

Le problème vient que sur mon site, à l'arrivée sur ma page index, session_id() est initialisé et pour passer à la page suivante, l'identifiant est passé par URL.

Ensuite, à l'appel d'une seconde page, le cookie prend le relai, plus de pb.

Est-il possible d'éviter cette manière de faire ? je n'aime pas retrouvé mon session_id() visible de tous (sécurité) ?
Comment puis-je m'en protéger ?

Merci par avance
pascal

**mathieu** · 23/03/2009, 09h41

Envoyé par grassel

je n'aime pas retrouvé mon session_id() visible de tous (sécurité) ?

tu pourrais nous montrer un exemple de problème de sécurité, je ne vois pas exactement ce qui pose problème

**grassel** · 23/03/2009, 10h30

J'en fait sans doute trop par ignorance !

Je découvre php avec 2 ouvrages "PHP et Mysql" et "PHP5 avancé".

Souvent il dit de faire très attention à ne pas se faire "capturer" l'identifiant de session (attaque par fixation de session), qu'il faut "cacher les sessions" etc etc.
Mainteant, mon site est en ligne et je ne voudrais pas générer de soucis.

Outre le fantasme du hack, je veux faire les choses dans les règles de l'art autant que faire ce peut pour l'amateur que je suis.

D'où les questions de ce post : je suis preneur de tout conseil

merci

**mathieu** · 23/03/2009, 12h13

Envoyé par grassel

Souvent il dit de faire très attention à ne pas se faire "capturer" l'identifiant de session (attaque par fixation de session), qu'il faut "cacher les sessions" etc etc.

c'est le principe de la session de déposer un identifiant sur l'ordinateur du visiteur (par l'URL ou par cookie) donc tu ne peux pas cacher cet identifiant
par contre tu peux faire en sorte qu'il soit plus difficile à trouver au hasard par exemple en modifiant la configuration des sessions comme expliqué là :
http://php.net/session.configuration....hash-function

**grassel** · 23/03/2009, 12h38

ok je vais voir ceci

merci et bonne journée

Transmission de l'indentifiant [PHP 5.2]

Langage PHP

Vue hybride

Discussions similaires

Partager

Partager