Discussion :

[[BkM-)]

Bonjour à vous !

Je suis en plein dans la réalisation d'un site web auquel je suis tout particuliérement attaché et j'ai donc soigneusement optimisé tout ce qui été possible et veillé à sécuriser au maximum les données entrantes.

Seulement, une question me trotte dans la tête depuis quelque temps maintenant.
Dans mon code, il m'arrive d'utiliser quelques variables sessions pour faire circuler des données sur plusieurs pages mais je n'ai jamais sécurisé ces données en me disant qu'elles n'étaient modifiables qu'à partir d'un script inscrit sur le serveur.

J'ai donc directement utilisé le contenu de ces variables sessions sans prendre la peine de mettre ne serait-ce qu'un htmlentities de précaution.

Pensez-vous que cela soit une erreur ? Est-il possible à une personne malveillante de modifier mes variables sessions ? Et si oui comment ?

Merci d'avance de vos réponses

[Yoteco]

Le problèmes avec les sessions c'est plutôt que quelqu'un s'empare de la SESSID ce qui lui permet d'utiliser la session de quelqu'un à de mauvaises fin... Pour celà il existe plusieurs solutions:

• Faire un session_regenerate_id() au début de chaque page afin que la SESSID soit régulièrement remise à jour.
• Sécuriser les sessions à l'aide d'une base de données ==> tuto ici

[[BkM-)]

Ok très bien

[Oprichnik]

Certains hebergeurs disposent d'un répertoire sessions dans le même dossier que "www" (qui contient le site web)

=> impossible de lire le contenu..

Sinon tu peut mettre un .htaccess dans le répertoire de sessions pour empêcher que les visiteurs ne sachent lire les données..