CLASSE "REMPLAÇANT" LES SESSIONS PHP (AVEC VÉRIFICATION DE L'ADRESSE IP)

Commentaire de thomvaill le 05/02/2007 19:29:57

J'y avais pensé aussi, mais, en effet, ça sera beaucoup trop lourd !

Merci à toi ;)

Commentaire de FhX le 05/02/2007 20:05:37

Y'a quoi d'orienté objet la dedand ?

Commentaire de Kdecherf le 05/02/2007 20:12:51

Arrêtez-moi si je me trompe, mais la POO n'est-il pas la programmation de classes ? Dans ce cas, c'est bel et bien de la POO ...

Commentaire de thomvaill le 05/02/2007 20:26:46

J'ai écrit cette classe dans un soucis de sécurité (vérification de l'IP + clé plus longue).
Pour aussi avoir la possibilité de gérer plusieurs sessions en même temps et la notion de "limite d'expiration".

Mais aussi pour me faire un but, avoir quelque chose à faire :)

Commentaire de FhX le 05/02/2007 21:46:15

Arrêtez-moi si je me trompe, mais la POO n'est-il pas la programmation de classes ? Dans ce cas, c'est bel et bien de la POO ...


==> C'est pas parce que j'ai fais une classe que je fais forcément de l'orienté objet.
L'appèlation "Orienté Objet" ne peut être utilisé que si l'utilisation "Objet" qu'il doit en être faite est utilisé convenablement.

C'est pas parce que je fais :
class x {
public function __construct();
}

$x = new x;
$x->truc();

que je sais faire de l'objet :|


Alors oui, une classe, c'est déja bien pour dire que c'est de l'objet. Mais l'objet, c'est pas ecrire "class machin" et après dire : "j'ai fais une classe".


Oui, mais une classe qui sert à rien, j'appèle plus ca une classe.

Une classe, c'est une représentation abstraite d'un modèle.
Hors, je vois pas l'abstraction ici. Rien qu'avec le passage en paramètre sur les méthodes internes je m'en rend compte.

Parce que la, j'aurais pu faire la même chose avec des fonctions, ca marche pareil et bien mieux :)
Pour etre orienté objet, il va falloir faire un peu mieux :)

Commentaire de dominion le 06/02/2007 12:28:38

thomvaill << Qu'entends-tu par vol de session ? En quoi l'allongement de la clef va qugmenter la sécurité ? (bruteforcer la clef native de PHP est déjà suffisament long non ?)
J'avoue que j'ai moi aussi un peu de mal à voir ce que la vérif d'adresses IP vient faire dans les sessions... A part si tu veux vérifier entre chaque page que le visiteur est le même, mais le sessionid est là pour ça non ?

Commentaire de dominion le 06/02/2007 13:04:11

"C'est pour éviter que quelqu'un trouve l'ID de session de quelqu'un". Faut avoir beaucoup de chance quand même vu la taille du sessid natif (128bits, je pense)... Et la limite d'expiration, tu peux la gérer avec PHP non ? (ou Apache peut-être...)

Cela dit, augmenter la sécurité des sessions n'est pas une tâche inutile, mais je pense que les solutions que tu utilisent vont plus ralentir ton code qu'augmenter cette sécurité...

Commentaire de thomvaill le 06/02/2007 16:01:16

Salut juki :)
En effet il y a les proxies... On pourrait peut être utiliser $_SERVER['X_FORWADED_FOR'] ou autre mais en général les proxies ne divulguent pas la vraie IP...

Changer d'ID entre chaque page pourrait être une solution en effet.

Commentaire de webdeb le 06/02/2007 17:42:14

Tu sais Fhx, il y'en a plein ici qui prétendent savoir programmer en PHP alors qu'ils ne déjà pas les bases du langage. Ce genre de gars qui n'acceptent pas la critique seront ceux qui n'iront pas loin dans le domaine du développement informatique.

Commentaire de FhX le 06/02/2007 18:11:43

"Si j'avais réellement voulu faire du POO, je n'aurai pas fait comme ça." Et pourtant tu l'as fait, et ca me chagrine un peu :)

"Je t'ai dit que j'avais fait ça sous forme de classe car c'était plus pratique." Coté pratique ?! Le coté pratique d'une classe n'est pas visible ici, voila pourquoi je m'insurge :p

"Après que tu me dises "ce n'est pas du POO", je vais aussi être cru, je m'en tempone vu que ce n'était pas le but!" C'est bien ce que je dis, ne fait pas de classes si tu ne sais pas t'en servir un minimum :)

Il devrait y avoir un peu plus d'abstraction dans ta classe... c'est ce qu'il manque beaucoup !



Bon, chui peut être devenu un peu puriste avec le temps... faut pas m'en vouloir de trop ^^
Que tu fasses une classe de session, ca ne me gène pas. Y'a juste qu'il faut coordonner ca un peu mieux :)
Y'a juste ca qui me chiffone ^^

Commentaire de FhX le 06/02/2007 19:15:33

bah je peux :

session_init('session_id');
if ( isset(session_vars('mdp')) && session_vars('mdp') == '123456') {
session_vars('nom') = 'Dupond';
}

session_save();
session_destroy();

Ca marche aussi bien hein :)

Ce que je veux dire, c'est que si j'utilise ton système tel quel dans une autre classe, je fais comment ? Je dois faire passer l'objet en paramètre dans le constructeur ? Je vais me retrouver avec :
public function __construct($objSession) {
$this->session = $objSession;
}

Ce qui signifie que tu vas être obligé d'instancier une première fois ton objet en tout début de page, pour pouvoir le faire passer en paramètre dans autant de classes qui nécessiterons les sessions ? Ouh la :s

Voit du coté du singleton, et aussi du coté de session_set_save_handler() :)

Le binz, c'est ca. C'est le passage de ton objet de session qui ne me convient pas. Car tel quel, ton objet ne me sert à rien dans une autre classe :)

Commentaire de kankrelune le 07/02/2007 03:17:09

Moi ce que je ne comprend pas c'est pourquoi tu veux changer le mode de fonctionnement des sessions... pourquoi plusieurs session... quel intérêt... la session est un tableau unique regroupant des information persistantes... point... dans l'exemple que tu donne plus haut quel est l'interet de $auth si ce n'est surcharger ton appli et par la même ton serveur... .. .

Tu voudrais simplement changer la partie gestion et stockage via session_set_save_handler() par exemple en faisant une class d'abstraction fichiers/sgdb ou un truc dans le genre je comprendrais mais là je vois pas l'interet... .. .

@ tchaOo°

Commentaire de TheSin le 07/02/2007 09:39:47

perso, y'a des parties de codes qui me chagrine ..... (je ne veux pas rentrer dans le débat class/POO, système de sessions, etc ...)

Voici une partie de ton code :

private function generateId ($sessionName) {
  while(true){
    // Code volontairement enlevé
    if(!$this->sessionExists($sessionName, $ID)){
    break;
    }
  }
}

Pourquoi ne pas simplement utiliser un do ... while ?

private function generateId ($sessionName) {
  do{
    // Code volontairement enlevé
  }while(!$this->sessionExists($sessionName, $ID));
}

je trouve ca plus logique et plus simple ^^

J'ai pas regardé le reste, mais bon, j'ai pas beaucoup de temps, je suis en cours tout de même.

Commentaire de TheSin le 07/02/2007 13:09:48

FhX, suivant le code qu'il a, il doit d'abord exécuté le code, sinon il ne casserait pas la boucle après son code non ?
Donc ton while serait mauvais dans le cas présent (j'ai pas tout tout regardé non plus).

Par contre, je suis d'accord, je ne vois pas pourquoi posséder plusieurs sessions par page .... :/

Commentaire de djheart le 16/07/2007 19:21:43

Salut a tous
ça commence 0 dater un peu ce sujet !
Enfin bon je voulais juste laisser une adresse qui me semble intéressante. Je suis trop novice pour participer au débat ou encore même dire que le lien que je le laisse relate de choses bien conçues.

Mais enfin je le laisse quand même : http://php.developpez.com/cours/sessions/?page=plus

Voila soyez pas trop dur avec thomvaill. Il a tenté un truc qu'il pensait être utile et fiable.

"C'est de ces erreurs qu'on apprend..."