Discussion :

[renaud26]

Bonjour à tous,

Je voudrais pouvoir compter les sessions actives par une lecture des fichiers d'enregistrement des sessions dans le dossier : /var/lib/php/session

Lorsque j'appelle la fonction, j'ai le message "open_basedir restrictions...", ce qui est normal.
Or, comme je suis sur mon dédié, je peux créer une instruction open_basedir sur ce dossier dans le vhost.conf.

Mais quel est le risque ? Piratage de session plus facile ?
Merci à ceux qui savent de bien vouloir m'éclairer sur ce point. J'ai parcouru web et forum mais il y a "à boire et à manger" et chacun y va de son avis perso qui va de "aucun risque" à "risque mortel"...

[sabotage]

Si tu veux faire des opérations particulières avec les sessions il veut mieux faire ton propre gestionnaire de session.

La présence d'un fichier dans le repertoire de session, ne veut pas dire que la session est active.

[renaud26]

Merci de ta réponse.
Avec filemtime() on peut quand même se faire une idée...
Mais ma question était surtout de savoir si il était dangereux ou non de faire un open_basedir sur le dossier des sessions pour y accéder via un script...

[Eric2a]

Salut,

Etant donné que tu as un dédié...

Pourquoi ne pas configuré session.save_path dans php.ini ?

Tu créerais un répertoire sessions à la racine de ton WWW en y placant bien évidemment un fichier .htaccess comportant la ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Deny from all

[renaud26]

Bonjour. Oui c'est une piste intéressante.
Cependant, le php.ini va toucher tout mon serveur et tous les sites hébergés.
Sais-tu si il est possible de faire cette manip pour un domaine donné.

Ou par le vhost.conf dudit domaine ?

[Eric2a]

En ajoutant la ligne ci-dessous dans ton .htaccess (à la racine de ton site)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

php_admin_value session.save_path /chemin/vers/les/sessions/

?

[julp]

php_admin_value/php_admin_flag (pour des valeurs on/off) c'est erreur 500 assurée dans un fichier .htaccess. Celles-ci sont prévues pour le fichier de configuration d'Apache. Pour les fichiers .htaccess, à condition que PHP fonctionne comme module et que le serveur permette leur utilisation (AllowOverride à valeur minimale Options), c'est php_value/php_flag.

Sinon fonction ini_set ou session_save_path avant session_start.

Ça aurait dû être prévu dès le départ et ce procédé, comme il l'a été dit, n'a rien de très fiable (entièrement dépendant de l'efficacité du GC).

[renaud26]

Merci à vous !
Effectivement, dans le htaccess => 500
Mais dans le vhost.conf, c'est impeccable.