Discussion :

[ChriGoLioNaDor]

Bonjour,

Puis-je utiliser en sécurité des variables de session
1/ pour marquer le fait qu'un utilisateur est identifié comme admin,
2/ pour m'indiquer le prix d'un article mis dans le panier (et le total), sans avoir à faire une requête par article lorsque je les liste, afin de le retrouver.

J'ai toujours peur que quelqu'un puisse modifier ces données, en trafiquant leur contenu (comme on peut modifier une valeur dans une url puis recharger la page)... Pourtant, utiliser des variables de session dans ces cas me permettrait de me faire économiser pas mal de requêtes SQL!

Merci d'avance!

[N1bus]

Oui,
C'est généralement comme ça qu'on procède.

[ChriGoLioNaDor]

OK, ça me rassure un petit peu. Ayant appris php sur le tas, et conscient de l'importance de la sécurité pour un site internet, je préfère poser des questions "simples", plutôt que de faire une grosse bétise!

Merci beaucoup pour ta réponse rapide

[julp]

Il faut comprendre qu'elles ne sont pas aisément modifiables étant situées (stockage) et utilisées côté serveur. Par contre, le vol de session est possible, surtout dans une configuration où la transmission de l'identifiant est assuré via session.use_trans_sid (réécriture des liens internes et formulaires).

Liens :

• Les sessions en PHP (utilisation et configuration)
• Protection contre le vol de session