Discussion :

[saturn1]

Bonjour je voudrai sécuriser un peu plus mes sessions.
Donc en faite je veux régénerer l'id à chaque page ce qui évitera de me faire détourner une session.

Donc j'ai trouvé un script pas mal.Ps : j'ai pas trouvé la colorisation.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
//On ouvre la session avec l'ID en cours
session_start();
//On copie les variables de session
$tmpSession=$_SESSION;
//On détruit les anciennes variables de session
$_SESSION = array();
//Destruction de la session
session_destroy();
//Utilisation du nouvel ID
session_id(md5(microtime()));
//Ouverture de la nouvelle session
session_start();
//Copie des variables
$_SESSION = $tmpSession;

Donc en faite on défini un nouvel id avec session_id(md5(microtime()));
Mais en faite si deux utilisateurs chargent en même temps une page alors ils auront le même id de session?

Esce très sécuriser tout cela?
Merci

[12monkeys]

Ps : j'ai pas trouvé la colorisation.

Pour ça il faut

Je ne sais pas trop ce que vaut cette méthode mais je t'invite à lire les tutoriels sécurité des sessions qui pouuront peut être t'aider à y voir plus clair.

[saturn1]

Ok merci.
Je l'ai est lu .
Mais aucun ne détaille comment faire un nouveau id de session.
Il suffirait d'utiliser la fonction session_regenerate_id();
Mais j'ai lu sur un tutorial d'un autre site que cette fonction créé en réalité un duplicata de l'ancien id avec toute les variables de session mais l'ancien est conservé. Donc aucune utilité de l'utiliser comme cela.

Donc il faut supprimer les variables sessions de l'ancien id.
Bon sa dans le script c'est correctement fait.

Mais ce que je ne comprend pas c'est comment il redéfinit l'id de session cela ne me semble pas très sécuriser car il se base sur le microtime.
Or imaginer un site qui a 100 visiteurs par secondes ... Bon sa fait quand même 8 millions de visiteurs par jours ok..c'est peu commun ..
Bon si deux visiteurs charge la page en même temps et bien il ont le même id de session ...
Quelqu'un comprend?

Merci

[Met@lnono]

Salut,
si tu regardes bien la doc de PHP, depuis la version 5.0.1, un paramètre delete_old_session a été ajouté.

Il suffit de l'utiliser comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

session_regenerate_id(TRUE);

Pour générer un nouvel session_id et supprimer l'ancien.

Après, je ne sais pas comment est généré le nouvel id ???

[saturn1]

Ok merci