begin process at 2012 05 31 07:55:29
  Trouver un code source :
 
dans
 
[ Dernières recherches ]
Accueil > Forum > 

Archive PHP

 > 

Archives

 > 

Class et Objet ( POO )

 > 

Protection de session

Derniers messages déposésPoser une question dans le forum ou lancer une discussion

Protection de session

vendredi 21 octobre 2005 à 17:48:35 | Protection de session

stailer
Bonjour,

Pour la sécurité de mon appli, je stocke dans ma session les infos des utilisateurs en cours :
ID login, login, ID groupe,etc... Mais pas le passord évidemment ; )

Ces infos sont dans une class : UserNow et je la sériealize afin de la stocker dans une seule et
unique variable de session. cependant, si je fais un echo $_SESSION["objet_user_encours"] j'obtiens
les infos du user connecté.

Alors ce que j'ai fait, c'est que je crypte en md5 l'objet avant de le serializer. Concrètement :

$_SESSION['usernow'] = @crypt_md5(serialize($usernow),"");

Et la je m'adresse aux experts parmi vous : est-ce un peu trop "paranoiaque" de ma part, ou ai je une bonne
sécurité de ma session avec ça ?

merci,

<--St@iLeR-->
vendredi 21 octobre 2005 à 18:46:48 | Re : Protection de session

Anthomicro
Salut,

tu es largement trop parano, je vois pas pourquoi il ne faudrait pas stocker de password ou autres données sensibles en session.

Le contenu des sessions est stocké sur le serveur, il faut simplement veiller à ne pas te faire voler ton id de session, c'est tout (et ça à part avoir un site sécurisé au niveau des cookies, de l'upload (pour que personne d'autre que ton site n'accède aux cookies) bah y'a pas vraiment de solution)
    samedi 22 octobre 2005 à 00:22:58 | Re : Protection de session

    FhX
    Et si tu met le tout en md5(), tu m'expliques comment tu fais pour le déserializer ? ;)

    Comme à dit Antho, le but est de ne pas se faire avoir l'id de session.
    A moins bien sur, que tu ne serializes ton objet dans le cookie de ton visiteur, et que tu le déserializes ensuite.

    Mais pour ca, ton visiteur se doit d'avoir les cookies d'activé ! Ce qui n'est pas toujours le cas.
    samedi 22 octobre 2005 à 13:38:34 | Re : Protection de session

    stailer
    Je peux désérialiser parce que la fonction de cryptage md5 (et décryptage) a été trouvé sur le web. Elle fonctione bien d'ailleurs, pas de souci avec.

    Par contre si j'ai bien compris ce cryptage ne sert à rien alors ? Le but est de protéger mon id de session.
    On m'a dit sur un autre forum de passer par une base de données ou je le stockerai avec l'IP et un temps de session en cours..
    Qu'en pensez-vous ? Ca m'embête de faire encore un accès à la base dans mes pages.

    <--St@iLeR-->
    samedi 22 octobre 2005 à 14:23:25 | Re : Protection de session

    Anthomicro
    Réponse acceptée !
    ça ne sert strictement à rien de procéder comme ça. tu n'as qu'à stocker l'ip en session comme ça si un mec te vole l'id de session bah n'ayant pas la même ip que celle stockée en session, se verra refuser l'accès.
      samedi 22 octobre 2005 à 15:07:46 | Re : Protection de session

      stailer
      C'est donc ce que je vais faire, merci beaucoup

      <--St@iLeR-->


      Cette discussion est classée dans : infos, session, sécurité, protection, usernow

      Répondre à ce message

      Sujets en rapport avec ce message

      Récupérer les infos dans une session [ par Fabrizio61 ] Bonjour à tousJe suis entrain de créer un site commercial et j'utilise easyphp 1.6.Je sais mettre des infos dans la session (produits choisis par le c SVP, comment faire pour ne pas voir les infos d'une session dans la barre d'adresse? [ par sema ] hello,pour acceder à mon site, j'ai mis une fenetre d'identification.l'authentification se fait par le biais de SESSION.mais j'ai remarqué que le nom Sécurité et session [ par tweeder ] Bonjour à tous,J'aimerais avoir votre avis sur un truc. Je fais la gestion d'un site et la partie administrateur utilise les variable de session. Est- SESSION : protection de page [ par jreaux62 ] Bonjour,J'ai fait des pages (pour un espace d'administration en ligne) avec protection par cookie.Mais apparemment, on m'a fait comprendre qu'au lieu Sécurité de $_SESSION [ par caviar ] Salut...je voudrai savoir si il est facile de remplacer le contenu d'une variable de session. SI je stocke par exemple l'id du client en cours dans un Besoin d'infos sur la protection d'un espace membre [ par visualight ] Bonjour,Est ce que quelqu'un  pourrait me renseigner sur la meilleure protection pour un espace membre ... ?- J'utilise actuellement un ssysteme secur infos cocnernant la variable $_SESSION [ par simsai ] Hélo a tous,Je debute en programmation PHP et je voudrais savoir si lorsque je crée 2 variables de session, il est normal que l'idSession(1ere variabl Sécurité par adresse IP et Sécurité par objet Session [ par dadystar ] Bonjour,j'aimerais savoir la différence entre une sécurité par adresse IP et celle par objet session.MerciCe que je sais c'est que je ne sais rien Quel variable prendre ??? [ par ManuAntibes ] Salut Pouvez vous me dire si mon code est bon.Aprés dans mon body il y a un tableau qui affiche toute les personnes qui on leur anniversaire aujourd'h pb de session [ par leonsix ]


      Nos sponsors


      Sondage...

      Comparez les prix


      Samsung Galaxy S
      Entre 529€ et 529€

      Visiter le guide achat

      CalendriCode

      Mai 2012
      LMMJVSD
       123456
      78910111213
      14151617181920
      21222324252627
      28293031   

      Consulter la suite du CalendriCode

      Photothèque

      Photo Water in the Beginning of the Grand CanyonPhoto Waterfall in Kauai Hawaii With Rainbow
      Photo Juliana airport 

      Visiter la photothèque

      A découvrir
       
      Développement réalisé par Nicolas SOREL (Nix) avec l'aide de : Cyril DURAND et Emmanuel (EBArtSoft), Merci à Vincent pour ses précieux conseils.
      CodeS-SourceS.com© Toute reproduction même partielle est interdite sauf accord écrit du Webmaster
      CodeS-SourceS.com© est une marque déposée tous droits réservés

      Google Coop CodeS-SourceS Google Coop CodeS-SourceS
      Temps d'éxécution de la page : 0,905 sec (3)

      Nous contacter | Annoncer sur CodeS-SourceS | Mentions légales
      Outils Convertisseur VB/C# Snippets et scripts Outils en ligne La ToolBox
      Communauté Programmation Photographie Technologie Newsgroups Emploi Forum Blogs
      Guide d'achat Téléphonie mobile Image et son Informatique Bureautique Jeux vidéo
      Logiciels Internet & Réseau Développement Market Android Jeux & Loisirs Graphisme Multimédia Sécurité Pilotes
      Loisirs Cartes virtuelles Vidéos droles Jeux en ligne Géoguide AndroLib (Android Market)