Discussion :

[JackBeauregard]

Bonjour,

J'ai un petit soucis avec l'admin de mon site, admin que je suis en train de mettre au point.
Voilà :
Lorsque l'on s'identifie sur mon site, en tant que visiteur, le PHPSESSID est passé en cookie. Cela fonctionne très bien.

Maintenant dans mon admin, je veux que le PHPSESSID soit aussi passé en cookie.

Mais alors si je m'identifie comme visiteur, ce qui peux arriver pour de multiples raisons, je vais me retrouver avec 2 PHPSESSID en cookie et je me demande si ça n'est pas un problème.

Qu'en pensez-vous ?

[JackBeauregard]

D'ailleurs je viens de constater que lorsque je m'identifie comme visiteur et que je vais ensuite pour m'identifier sur l'admin, le script m'affiche "vous êtes déjà identifié".

Comment puis-je faire pour bien séparer les deux parties "site" et "admin" avec deux identifications et sessions bien différentes ?

[berceker united]

D'ailleurs je viens de constater que lorsque je m'identifie comme visiteur et que je vais ensuite pour m'identifier sur l'admin, le script m'affiche "vous êtes déjà identifié".

Comment puis-je faire pour bien séparer les deux parties "site" et "admin" avec deux identifications et sessions bien différentes ?

Tu ne peux pas en avoir deux et cela ne sert à rien, tu peux à la limite limiter un cookie à un répertoire de ton site.
Le PHPSESSID n'est que le lien entre toi et le fichier de session présent sur le serveur. A toi de séparer les informations.
$_SESSION['site'] =xxxx
$_SESSION['admin'] =xxxx

[JackBeauregard]

Salut Berceker United,

En fait sur mon site je fais ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
if( isset( $_COOKIE[ session_name() ] ) )
{
    session_start();
    //ici on compare le temps actuel avec le temps lors de l'identification
//si il y a 20 minutes sans réactualisation de page, on va tout fermer et détruire les cookie
if(time()-$_SESSION['dernier_acces']>1200) 
{
setcookie(session_name(), '', 1 ); // on détruit le cookie
//on détruit la session
$_SESSION = array();
session_destroy();
}

Donc là après l'identification, je crée un cookie et si il y a le cookie, la session est ouverte dans la page.
Passé un certain temps, la session est détruite.

Donc en fait si je passe de l'admin au site, le mieux est de me déconnecter de l'un avant de passer à l'autre, et vice-versa. Cela n'est pas un problème en soit. Mon souci concerne surtout la sécurité.

Donc je pense qu'après l'identification dans l'admin, je dois passer en SESSION[''] une variable spécifique à la zone d'identification. C'est ça ?

[berceker united]

Salut Berceker United,

En fait sur mon site je fais ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
if( isset( $_COOKIE[ session_name() ] ) )
{
    session_start();
    //ici on compare le temps actuel avec le temps lors de l'identification
//si il y a 20 minutes sans réactualisation de page, on va tout fermer et détruire les cookie
if(time()-$_SESSION['dernier_acces']>1200) 
{
setcookie(session_name(), '', 1 ); // on détruit le cookie
//on détruit la session
$_SESSION = array();
session_destroy();
}

Donc là après l'identification, je crée un cookie et si il y a le cookie, la session est ouverte dans la page.
Passé un certain temps, la session est détruite.

Donc en fait si je passe de l'admin au site, le mieux est de me déconnecter de l'un avant de passer à l'autre, et vice-versa. Cela n'est pas un problème en soit. Mon souci concerne surtout la sécurité.

Donc je pense qu'après l'identification dans l'admin, je dois passer en SESSION[''] une variable spécifique à la zone d'identification. C'est ça ?

Oui, concernant la securité il ne faut pas placer d'information explicite dans le cookie. genre admin = 0
site = 1

[JackBeauregard]

Ok bah c'était assez simple en fait. Sinon pour le reste, je passe dans le cookie uniquement le numéro de session. Après, dans les scripts, je test non pas si le cookie existe mais bien s'il existe l'id du membre en session, ce qui ne peut être le cas que si le visiteur s'est identifié, alors qu'il peut facilement créer un cookie et le "placer" (j'ai pas le bon terme là) dans son navigateur. En fait la seul chose que fait le cookie, c'est conditionné l'initialisation de la session par session_start()

Bon pour mon admin je passe une variable en session qui lui est spécifique.

Merci