Discussion :

[TNorth]

Bonjour,
Dans une appli web, je passe systématiquement les PHPSESSID (sid=....) dans l'URL, le prob, c'est:

• C'est pas "propre"
• C'est pas sécurisé (vol de sid)

J'aimerai plutôt envoyer un cookie de session... mais pour php<4.3, ce n'est pas automatique ! (après, si suffit d'utiliser le flag session.use_only_cookies)

Maintenant, je ne sais pas quelle est la façon la plus judicieuse de provoquer l'envoi d'un cookie à l'ouverture de la session.....
et les sid, je peux les laisser complètement tomber dans les URL ?
Qu'utilisez vous ?
Merci !!

[Swoög]

Pour ce qui est de la configuration en elle-même, regarde le tuto indiqué en lien dans ma signature

ensuite, n'oublie pas que les cookies peuvent toujours être bloqués... donc activer use_only_cookie peut également provoquer des problèmes à l'utilisation

[TNorth]

Hello,
Merci pour le lien.

Mais en fait je voulais en particulier savoir comment gérer au mieux mes sessions: si mon application doit tounrer sur un hébergeur qui a sess.use_cookies=0 et session.use_only_cookies=0, le gros risque est qu'une fois loggué, le SID ne soit pas transmit.

J'aimerai utiliser les cookies de préférence, mais prévoir le cas ou ils sont refusés. Est-ce un bon choix, ou bien les cookies vont "l'emporter" dans le futur (use_only_cookies apparu dans php4.3 pour des raisons de vol de sid)
Est-ce très handicapant de ne pas pouvoir accéder au site sans ce cookie ?

(évidement le plus simple est simplement de supprimer tout de l'URL pour garder l'identification par cookie )

[Swoög]

bah le problème c'est que si les cookies sont bloqués, le SID ne sera plus transmis donc les sessions ne fonctionneront plus, ensuite c'est toi qui fait tes choix... je pense que le mieux c'est use_cookies mais pas use_only_cookie, comme ça, si les cookies sont désactivés, tu auras toujours le SID

[Kioob]

En tous cas sur mes serveurs c'est trans_sid à off, et use_only_cookies à on.

Après tout, c'est aussi pour la sécurité des utilisateurs. Je préfère les éduquer un minimum, qu'ils arrêtent cette parano anti-cookie, plutôt que de devoir activer le trans_sid sur mes machines.

[Swoög]

En tous cas sur mes serveurs c'est trans_sid à off, et use_only_cookies à on.

Après tout, c'est aussi pour la sécurité des utilisateurs. Je préfère les éduquer un minimum, qu'ils arrêtent cette parano anti-cookie, plutôt que de devoir activer le trans_sid sur mes machines.

Oui, je suis 100% d'accord, si je devais monter une config de prod, c'est ce que je ferais aussi ^^

[Kioob]