Petit soucis d'authentification

[FrenchKiss]

Bon, j'ai continué à chercher de mon côté, et voici ce à quoi je suis parvenu (ça semble fonctionner, à vous de me dire si j'ai pas laissé de failles béantes).

function urlSID($url) 
	{	$url = $url.((SID)? "?".SID : ""); return $url; }

Cette fonction vérifie si la variable SID est vide.

Si elle est vide, ça signifie que l'identifiant de session est stocké dans un cookie, et donc, que tout baigne, l'URL peut rester intacte.

En revanche, si SID est non vide, alors je concatène "?SID" à mon url ce qui à pour effet d'y attacher ?PHPSESSID=XXXX ... rendant la session valide pour les navigateurs qui ne prennent pas les cookies.

[steph13]

Salut FrenchKiss,

Personnellement, et après lecture de plusieurs sites sur le php et les sessions, j'ai opté pour quelques chose de différent.

Il semble que d'atacher le SID à l'URL pose, entre autres, certains problèmes de sécurité.

Donc, lors de l'authentification du membre, je le fais passer par une page qui est un script de vérification des cookies.

Si le cookie de session est la, on va a l'espace membre.

Si le cookie n'est pas la, on vas sur un page d'info pour exliquer au membre comment accepter les cookies.

Au passage, la session est détruite.

Depuis, je n'ai plus de problèmes.

Merci à toi pour tes réponses,

et toutes mes excuses pour la mienne qui fût bien tardive.

Je n'avais pas fait attention.

Stef'

[FrenchKiss]

Ah :/

Pourrais-tu m'expliquer vite fait en quoi ça pose problème ?

Ou au moins me communiquer quelques références...

Pour ma part, j'envisageais d'utiliser ce système pour identifier mes membres... et de leur redemander leur mot de passe avant toute opération sensible, pour vérifier que personne n'a usurpé leur session.

Pas assez sécurisé ?

Autre (et dernière question), comment vérifies-tu si le cookie de session existe ? Y'a-t'il une meilleure méthode que de regarder si la constante SID est vide ?

Modifié 28 Avril 2006 par FrenchKiss