Discussion :

[noyuw]

bonjour !

afin que mes utilisateurs soient connecté sur mon site, j'enregistre dans une variable de session, l'ID de son compte dans ma DB :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION['USER'] = $id ;

Donc en gros, mon script regarde si cette variable est vide, si elle ne l'est pas il cherche alors dans la DB grâce à la variable de session les infos sur l'utilisateur et affiche qu'il est connecté.



Je voulais savoir si c'était sécurisé ? du style la personne peux-t-elle modifier la variable de session pour par exemple changer son ID et être connecté sous un autre compte ?

Merci d'avance.

[sabotage]

S'il y a une faille, elle serait dans ton code d'authentification et de controle et non dans le fonctionnement des sessions PHP.

[noyuw]

ben je pense que pour mon script il n'y a aps de soucis j'ai pris toutes les mesures, je voulais juste savoir si s'était sécurisé d'authentifier un user par son ID enregistré dans une session.

[Eric2a]

Oui... Ta méthode est bonne.

Tu peux continuer sereinement ton développement

[Madfrix]

Tu peux également mettre en place une méthode pour te prémunir du vol de session tel que défini dans la FAQ

[noyuw]

yep j'avais déjà vu cette page et je l'utiliserai, merci pour vos réponses