[Sécurité] Securité session php

Version imprimable

Bonjour je voudrai sécuriser un peu plus mes sessions.
Donc en faite je veux régénerer l'id à chaque page ce qui évitera de me faire détourner une session.

Donc j'ai trouvé un script pas mal.Ps : j'ai pas trouvé la colorisation.
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 //On ouvre la session avec l'ID en cours session_start(); //On copie les variables de session $tmpSession=$_SESSION; //On détruit les anciennes variables de session $_SESSION = array(); //Destruction de la session session_destroy(); //Utilisation du nouvel ID session_id(md5(microtime())); //Ouverture de la nouvelle session session_start(); //Copie des variables $_SESSION = $tmpSession;
Donc en faite on défini un nouvel id avec session_id(md5(microtime()));
Mais en faite si deux utilisateurs chargent en même temps une page alors ils auront le même id de session?

Esce très sécuriser tout cela?
Merci

13/04/2008, 01h18
12monkeys

Citation:

Envoyé par saturn1

Ps : j'ai pas trouvé la colorisation.

Pour ça il faut :tagcode:

Je ne sais pas trop ce que vaut cette méthode mais je t'invite à lire les tutoriels sécurité des sessions qui pouuront peut être t'aider à y voir plus clair.
13/04/2008, 01h33
saturn1

Re re re

Ok merci.
Je l'ai est lu .
Mais aucun ne détaille comment faire un nouveau id de session.
Il suffirait d'utiliser la fonction session_regenerate_id();
Mais j'ai lu sur un tutorial d'un autre site que cette fonction créé en réalité un duplicata de l'ancien id avec toute les variables de session mais l'ancien est conservé. Donc aucune utilité de l'utiliser comme cela.

Donc il faut supprimer les variables sessions de l'ancien id.
Bon sa dans le script c'est correctement fait.

Mais ce que je ne comprend pas c'est comment il redéfinit l'id de session cela ne me semble pas très sécuriser car il se base sur le microtime.
Or imaginer un site qui a 100 visiteurs par secondes ... Bon sa fait quand même 8 millions de visiteurs par jours ok..c'est peu commun ..
Bon si deux visiteurs charge la page en même temps et bien il ont le même id de session ...
Quelqu'un comprend?

Merci
13/04/2008, 10h41
Met@lnono

Salut,
si tu regardes bien la doc de PHP, depuis la version 5.0.1, un paramètre delete_old_session a été ajouté.

Il suffit de l'utiliser comme ceci :

Code:

session_regenerate_id(TRUE);

Pour générer un nouvel session_id et supprimer l'ancien.

Après, je ne sais pas comment est généré le nouvel id ???
13/04/2008, 15h06
saturn1

RE

Ok merci