Une session c'est quoi ?
Une session est un mécanisme technique permettant de sauvegarder temporairement sur le serveur des informations relatives à un internaute. Ce système a notamment été inventé pour palier au fait que le protocole HTTP agit en mode non connecté. A chaque ouverture de nouvelle session, l'internaute se voit attribuéun identifiant de session. Cet identifiant peut-être transmis soit enGET (PHPSESSID ajouté à la fin de l'url), POST ou Cookie (cookie surposte client) selon la configuration du serveur. Les informationsseront quant à elles transférées de page en page par le serveur et nonpar le client. Ainsi, la sécurité et l'intégrité des données s'envoient améliorées ainsi que leur disponibilité tout au long de lasession. Une session peut contenir tout type de données : nombre,chaîne de caractères et même un tableau.
Contrairement à une base de données ou un système de fichiers, lasession conserve les informations pendant quelques minutes. Cette duréedépend de la configuration du serveur mais est généralement fixée à 24minutes par défaut. Le serveur crée des fichiers stockés dans unrepertoire temporaire.
Parmi les utilisations les plus courantes des sessions, on trouve :
- Les espaces membres et accès sécurisés avec authentification
- Gestion d'un caddie sur un site de vente en ligne
- Formulaires éclatés sur plusieurs pages
- Stockage d'informations relatives à la navigation de l'utilisateur (thème préféré, langues...)
La théorie, c'est bien beau mais en pratique comment ça se passe ? Le chapitre suivant explique l'initialisation et la restauration d'une session ouverte.
Initialisation (et restauration) d'une session
PHP introduit nativement une unique fonction permettant de démarrer ou de continuer une session. Il s'agit de session_start(). Cette fonction ne prend pas de paramètre et renvoit toujours true. Elle vérifie l'état de la session courante. Si elle est inexistante, alors le serveur la crée sinon elle la poursuit.
<?php
session_start();
?>
Dans le cas d'une utilisation des sessions avec les cookies, lafonction session_start() doit obligatoirement être appellée avant toutenvoi au navigateur sous peine de voir afficher les fameuses erreurs :
"Cannot modify header information - headers already sent by ..." ou "Cannot send session cookie - headers already sent by ...".Cela est du au fait que PHP ne peut plus envoyer de cookie àl'utilisateur car il y'a déjà eu une sortie au navigateur (echo(),print(), espace blanc, tag html...).
Note : il faut appeller session_start() sur chaque page utilisant le système de session.
Lecture et ecriture d'une session
Le tableau $_SESSION
Lorsqu'une session est créée, elle est par défaut vide. Elle n'a donc aucun intérêt. Il faut donc lui attribuer des valeurs à sauvegarder temporairement. Pour cela, le langage PHP met en place le tableau superglobal $_SESSION. Le terme superglobal signifie que le tabeau a une visibilité maximale dans les scripts. C'est à dire que l'on peut y faire référence de manière globale comme locale dans une fonction utilisateur sans avoir à le passer en paramètre. Le tableau $_SESSION peut-être indexé numériquement mais aussi associativement. En règle générale, on préfère la seconde afin de pouvoir donner des noms de variables de sessionclairs et porteurs de sens.
L'écriture de session
Pour enregistrer une nouvelle variable de session, c'est toutsimple. Il suffit juste d'ajouter un couple clé / valeur au tableau$_SESSION comme l'illustre l'exemple suivant.
<?php
// Démarrage ou restauration de la session
session_start();
// Ecriture d'une nouvelle valeur dans le tableau de session
$_SESSION['login'] = 'Dupond';
?>
Le tableau $_SESSION, qui était vide jusqu'à présent, s'est agrandit dynamiquement et contient maintenant une valeur (Dupond) à la clé associative login. Une variable de session est alors créée.
Note de rappel : à place de la chaîne de caractères «Dupond»,nous aurions pu mettre un nombre, un booléen ou encore un tableau parexemple.
Lecture d'une variable de session
Après l'écriture, c'est au tour de la lecture. Il n'y a rien deplus simple. Pour lire la valeur d'une variable de session, il fauttout simplement appeler le tableau de session avec la clé concernée. L'exemple ci-dessous illustre tout ça.
<?php
// Démarrage ou restauration de la session
session_start();
// Lecture d'une valeur du tableau de session
echo $_SESSION['login'];
?>
Cette instruction aura pour effet d'afficher à l'écran la chaîne de caractères Dupond.
Destruction d'une session
Comme cela a été évoqué plus haut, le serveur détruit lui même lasession au bout d'un certain temps si la session n'a pas étérenouvellée. En revanche, il est possible de forcer sa destruction grâce à la fonction session_destroy(). Cela permet par exemple aux webmasters de proposer une page dedéconnexion aux membres loggués à leur espace personnel. Cependant, l'utilisation de session_destroy() seule n'est pas très "propre". Le code suivant présente une manière plus correcte de mettre fin à une session.
<?php
// Démarrage ou restauration de la session
session_start();
// Réinitialisation du tableau de session
// On le vide intégralement
$_SESSION = array();
// Destruction de la session
session_destroy()
// Destruction du tableau de session
unset($_SESSION);
?>
Pour être convaincu de la destruction de la session, il suffitjuste d'essayer d'afficher le contenu du tableau de session au moyen dela fonction print_r().
Configuration des sessions sur le serveur
Une session ne reste ouverte que pendant un certain temps. Tout au plus ce sera celle indiquée par la directive session.gc_maxlifetime du php.ini, entre deux clics consécutifs du client. Il est recommandé de ne pas augmenter la valeur inscrite par défaut. Mais pourquoi ? Toutsimplement parceque si la session à une durée de vie plus importante,on s'expose à des risques de piratage par vol de session notamment (cf: voir les liens annexes en fin de billet pour plus d'informations).
Pour les mêmes raisons de sécurité, il est conseillé de configurer le serveur de la façon suivante :
session.use_cookies 1
session.use_only_cookies 1
session.use_trans_sid 0
Cette configuration implique néanmoins une restriction totale pourles personnes n'acceptant pas les cookies. Ci-dessous, la significationdans le même ordre des 3 lignes de configuration précédentes.
- L'identifiant de session est transmis par un cookie.
- Seul le cookie peut transmettre l'identifiant de session.
- Le PHPSESSID transmis dans l'url est strictement refusé.
Approche pratique : concevoir un accès restreint
Présentation du cas pratique
Le présent chapitre introduit un cas concret d'utilisation dessessions. Il s'agit d'un accès restreint basique. Seul un utilisateurn'est autorisé à être loggué mais cet exemple est à la base de lacréation d'un espace membre. C'est exactement la même chose. Pourréaliser tout ça, nous aurons besoin de 2 fichiers : le formulaireaccompagné de son script de login, et la page protégée. Commençons parle formulaire de login. Le code étant commenté, il n'y aura pas plusd'explications.
Formulaire d'authentification : authentification.php
<?php
// Definition des constantes et variables
define('LOGIN','toto');
define('PASSWORD','tata');
$errorMessage = '';
// Test de l'envoi du formulaire
if($_POST) {
// Les identifiants sont transmis ?
if(!empty($_POST['login']) && !empty($_POST['password'])) {
// Sont-ils les mêmes que les constantes ?
if($_POST['login'] !== LOGIN) {
$errorMessage = 'Mauvais login !';
}
elseif($_POST['password'] !== PASSWORD) {
$errorMessage = 'Mauvais password !';
}
else
{
// On ouvre la session
session_start();
// On enregistre le login en session
$_SESSION['login'] = LOGIN;
// On redirige vers le fichier admin.php
header('Location: admin.php');
exit();
}
}
else
{
$errorMessage = 'Veuillez inscrire vos identifiants svp !';
}
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr">
<head>
<title>Formulaire d'authentification</title>
</head>
<body>
<form action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>" method="post">
<fieldset>
<legend>Identifiez-vous</legend>
<?php
// Rencontre-t-on une erreur ?
if(!empty($errorMessage)) {
echo htmlspecialchars($errorMessage);
}
?>
<p>
<label for="login">Login :</label>
<input type="text" name="login" id="login" value="" />
</p>
<p>
<label for="password">Password :</label>
<input type="password" name="password" id="password" value="" />
<input type="submit" name="submit" value="Se logguer" />
</p>
</fieldset>
</form>
</body>
</html>
Exemple de page protégée : admin.php
<?php
// On prolonge la session
session_start();
// On teste si la variable de session existe et contient une valeur
if(empty($_SESSION['login'])) {
// Si inexistante ou nulle, on redirige vers le formulaire de login
header('Location: authentification.php');
exit();
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr">
<head>
<title>Administration</title>
</head>
<body>
<?php
// Ici on est bien loggué, on affiche un message
echo 'Bienvenue ', $_SESSION['login'];
?>
</body>
</html>
Petite explication : pour protéger chacune des pages de l'administration, il faut absolument ajouter en tête de fichier lepremier script entièrement. Celui-ci redirige l'utilisateur s'il n'estpas convenablement loggué. Sinon il affiche la page Web.
Liens annexes
Voici une serie de liens pour obtenir un complément d'information sur l'utilisation des sessions.
Conclusion
Le tutoriel s'achève sur ces derniers mots. Je vous conseille vivement de jeter un oeil à la documentation de PHP au sujet des sessions pour regarder du côté des autres fonctions existantes non évoquées ici. Ceci n'était que le fondement théorique des sessions basé sur un exemple concret et pratique. Vous serez à présent en mesure de construire vos propres applications web à partir de sessions.