Discussion :

[smazaudi]

Bonjour, voici mon problème. Je viens de développer un site utilisant des sessions php. Il a été développé en local sur ma machine (apache2). Je viens de le tester sur notre serveur IIS, en interne pas de soucis (http://192.168.x.x), tout focntionne correctement.

Dés que j'essaie d'y accéder par l' extérieur, je me loggue et dés que je clique sur un lien différent de la page d'accueil je perd mes variables de session.

En vérifiant dans le répertoire des sessions de php je me suis rendu compte qu'il me créait un fichier sess_xxxxxxx a chaque page chargée. Il ne garde donc pas la session originale.

Ca me le fait qu'en appel de l'extérieur, pas en intranet et ce, sur le même serveur avec la même config. Toutes les sources php commencent par session_start je le présice.

Si quelqu'un a une idée merci de m'aider car là j'avoue que je ne sais plus trop quoi faire.

Merci d'avance

[DroP]

Pourrais tu nous indiquer la version de ton serveur IIS et le système d'exploitation qui l'héberge

MErci

[smazaudi]

Bon, j'en sais un peu plus.

En fait cela arrive si le client désactive les cookies sur son navigateur. En fait, quand je me connectais en extérieur chez un client, je passais directement par leur serveur qui a une connectivité limitée au niveau d'IE par rapport à un poste client.

Ce que je ne comprend pas c'est que normalement le cookie de session doit être positionné sur le serveur et pas sur le client, donc l'activation des cookies sur le navigateur du client ne doit pas impacter mon site normalement. ?????

Sinon, y a t'il moyen de faire autrement au niveau gestion des sessions ?

voici mon php.ini:
-session.save_handler = files
-session.save_path = D:\Internet\WWW\SESSIONS
-session.use_cookies = 1
-session.name = PHPSESSID
-session.auto_start = 0
-session.cookie_path = /
-session.cookie_domain =
-session.serialize_handler = php
-session.gc_maxlifetime = 1440
-session.cache_expire = 180
-session.cache_limiter = nocache
-session.use_trans_sid = 0

D'ailleurs, ce que je ne comprend pas, en local (apache2) sur ma becane ça fonctionne correctement même si les cookies sont refusés.

Merci par avance

[DroP]

Ce que je ne comprend pas c'est que normalement le cookie de session doit être positionné sur le serveur et pas sur le client, donc l'activation des cookies sur le navigateur du client ne doit pas impacter mon site normalement. ?????

Non cela n'est pas juste, les cookies sont stockées sur le poste client, par contre les fichiers de sessions sont sur le serveur.

Par contre, si tu veux te passer des cookies pour faire fonctionner les sessions, il faut que tu passes à chaque fois les session_id dans l'url de ta page.

[smazaudi]

OK merci pour l'info.

Je viens de faire d'autres tests, apparemment meme en confidentialité moyenne ca passe pas, il faut carrément mettre "accepter tous les cookies sur le navigateur du client.

Mon serveur IIS posséde plusieurs sites, ça ne le fait pas sur les autres sites : ex, si je copie mon répertoire de ce site dans le rep du site1, ça fonctionne correctement, pas de perte de session. Je me dis qu'il y a un problème de paramétrage IIS quelque part, mais ou ?
De plus ils utilisent le meme php.ini avec la meme version de php (4.3.10)

La je comprend plus

[12monkeys]

Bonjour

Regarde la faq : http://php.developpez.com/faq/index....ons_confphpini

session.use_cookies boolean
Spécifie si le module utilisera les cookies pour stocker les données de session sur le client. Par défaut, il vaut 1, c'est-à-dire actif.

session.use_only_cookies boolean
Spécifie si le module doit utiliser seulement les cookies pour stocker les identifiants de sessions du côté du navigateur. En l'activant, vous éviterez les attaques qui utilisent des identifiants de sessions dans les URL. Cette configuration a été ajoutée en PHP 4.3.0. Par défaut, vaut 1 (activé) depuis PHP 6.0.

session.use_trans_sid boolean
Spécifie si le support du SID est transparent ou pas. Par défaut vaut 0 (désactivé).

Note: En PHP 4.1.2 ou plus ancien, cette option est activée en utilisant l'option de compilation --enable-trans-sid. Depuis PHP 4.2.0, cette option est toujours activée. Le système de gestion des sessions par URL pose un risque supplémentaire de sécurité : un utilisateur peut envoyer son URL avec l'identifiant de session par email à un ami, ou bien le mettre dans ses signets. Cela diffusera alors l'identifiant de session.

http://fr.php.net/manual/fr/session.configuration.php

Si les cookies sont désactivés il n'y a plus de passage de l'identifiant de session d'une page à l'autre puisque session.use_trans_sid vaut 0 ; essaye de le mettre à 1 pour voir si cela fonctionne.

Par contre pour la différence entre les différents sites sur le même serveur, aucune idée, il faut peut être demander sur le forum spécifique à IIS ?

[smazaudi]

Merci pour ta réponse.

Je viens d'essayer en positionnant le

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

session.use_trans_sid = 1

Et bien ça marche, mais ça ne me convient pas vraiement etant donné que l'identifiant de SESSION est passé directement dans l'url, niveau sécurité c'est pas top.

J'ai réalisé quelques essais depuis hier:
J'ai crée 2 fichiers 1.php et 2.php pour tester, ça m'évite de m'authentifier à chaque fois (oui je saisi chuis flémard).

Fichier : 1.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
<?php
 
    session_start ();
    $_SESSION['CLIENT'] = 'CLIENT'; 
 
?>
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
<head>
    <title>Bienvenue</title>
    <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1" />
    <meta http-equiv="Content-Language" content="fr" />
    <meta http-equiv="Content-Script-Type" content="text/javascript" />
    <meta http-equiv="Content-Style-Type" content="text/css" />
    <meta name="DC.Language" scheme="RFC3066" content="fr" />
    <SCRIPT LANGUAGE="JavaScript" SRC="../js/outils_javascript.js"></script>
</head>
 
<body>
 
   <?php
      echo 'CLIENT:'.$_SESSION['CLIENT'];
   ?>
 
   <A HREF="2.php"> Page suivante</A>
</body>
</html>

Fichier : 2.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
 
<?php
 
    session_start ();
 
?>
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
<head>
    <title>RESTOCB : Bienvenue</title>
    <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1" />
    <meta http-equiv="Content-Language" content="fr" />
    <meta http-equiv="Content-Script-Type" content="text/javascript" />
    <meta http-equiv="Content-Style-Type" content="text/css" />
    <meta name="DC.Language" scheme="RFC3066" content="fr" />
</head>
 
<body>
 
   <?php
      echo 'CLIENT:'.$_SESSION['CLIENT'];
   ?>
</body>
</html>

Bilan:

A chaque actualisation de 1.php, un nouveau fichier de session sess_xxxx est crée et lorsque je clique sur le lien 2.php ne récupère pas la valeur "CLIENT" et recrée lui aussi un fichier de session doit la taille est 0ko qui bien sûr est vide.

[Romanops]

Bonjour, j'ai exactement le même problème : 2 fichiers sessions qui se créent chez mon client, mais pas ici. Chez le client, quand je mets firefox sur le même poste et dans le même environnement serveur, ça fonctionne correctement.

Est-ce que vous avez trouvé une solution ? Est-ce que quelqu'un a une solution ?

[Doonge]

Pour smazaudi, il y a 3 ans:

Regarde si un cookie est créé sur ton navigateur quand tu visites test1.php et test2.php



Pour Romanops:
La solution c'est comprendre comment les sessions fonctionnent ...
Si tu veux que quelqu'un essaye de t'aider, commence donc par donner ton code et ton phpinfo().

[Romanops]

Bonjour et merci pour votre réponse.

Voici mon code :

Ma classe Session :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<?php
 
class Session { 
 
    private static $instance;
    var $creation_Ok;
 
    public static function recupere_Instance() {
        if (!isset(self::$instance)) {
            self::$instance = new Session();
        }
        return self::$instance;
    }
 
    private function __construct() { 
        $this->creation_Ok = session_start(); 
    } 
 
    public function recupere_Valeur($key) { 
        return isset($_SESSION[$key]) ? $_SESSION[$key] : FALSE; 
    } 
 
    public function ecrit_Valeur($key, $value) { 
        $_SESSION[$key] = $value; 
    } 
 
    public function connecte($pValues = array()) { 
        $_SESSION['authentication_ip'] = $_SERVER['REMOTE_ADDR']; 
        foreach ($pValues as $key => $value) { 
            $_SESSION[$key] = $value; 
        } 
    } 
 
    public function deconnecte() { 
        session_unset(); 
        session_destroy(); 
    } 
 
    public function est_Connecte() {
         return isset($_SESSION['authentication_ip']) && 
                $_SESSION['authentication_ip'] == $_SERVER['REMOTE_ADDR']; 
    } 
}

Code de création de la session :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$o_Session = Session::recupere_Instance();
$v_Objet = serialize($this);
$o_Session->ecrit_Valeur("Utilisateur",$v_Objet);

L'objet sérialisé est mon objet utilisateur.

Code de récupération de la session :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$o_Session = Session::recupere_Instance();
$v_Retour = $o_Session->est_Connecte();

Et après, je récupère mon objet pour l'utiliser : rien d’extraordinaire en somme...


Edit :
D'autre part, je suis à 99% sûr que le problème ne vient pas de mon code car cela fonctionne sous firefox et ie dans mon environnement de développement, cela fonctionne aussi sous firefox chez mon client. Le problème survient lors de l'utilisation d'IE (7 ou 9 testé)...
Je pencherais plutôt pour un problème de config sous IE, seulement, j'ai testé tout ce qui s'est dit ici (même de configurer php.ini pour envoyer les variables de session via l'url) mais ça ne fonctionne pas !
Cela dit, je ne suis pas expert en configuration/utilisation d'IE... Si ça tombe ce n'est pas IE le problème, c'est juste qu'étant donné que ce comportement n'apparait que sous IE je me suis dit que le problème venait d'IE... ^^

[Doonge]

Constructeur privé donc apparemment singleton,

Tu instancies une session en appelant recupere_Instance(), qui ne fait un session_start() que si self::$instance n'est pas initialisé, dans tous les cas il retourne self::$instance.


Déjà, c'est quoi self::$instance ?
Je vois que self::$instance vaut le return du constructeur ?
Déjà, il me semble qu'il faut écrire new Session (si Session est une classe objet), et pas new Session(). Ensuite, j'ai l'impression que ton constructeur ne renvoie rien du tout ?
Si le constructeur ne renvoie rien, que contient self::$instance ?


Pourquoi, et c'est bien, fais-tu un singleton pour la session, alors que tu laisses accessible le paramètre $creation_Ok (aucune fonction ne renvoie sa valeur, tu y a accès directement via $objet->creation_Ok ?) ?
J'ai l'impression que ces deux façons d'appréhender ta classe sont très différentes l'une de l'autre ?

Ta fonction connecte m'a l'air bizarre. Non seulement le nom m'a l'air curieux pour ce qu'elle fait (c'est juste la fonction ecrit_Valeur pour un array) mais que fait le REMOTE_ADDR là dedans ? Pourquoi le mettre dans une telle fonction ? (car la même assignation se fera à chaque appel de cette fonction ... ?).




Pour répondre à ton problème, à savoir le fait que plusieurs fichiers de sessions se créent, je dirais que tu devrais ajouter des messages de test dans ton code, avec session_id(), pour voir où se situe le problème.


Ah et aussi, mais je crois pas que ça soit ça, est-ce qu'il y a un underscore "_" dans ton server name ? (le nom du serveur stocké dans le cookie).

[Romanops]

Tu instancies une session en appelant recupere_Instance(), qui ne fait un session_start() que si self::$instance n'est pas initialisé, dans tous les cas il retourne self::$instance.

Hé bien oui, ainsi le session_start n'est fait qu'une seule fois par "page", ainsi je peux récupérer mon instance dans n'importe quel morceau de code pour utiliser les données stockées dans session.

Déjà, c'est quoi self::$instance ?

Heu... selon la signification de la question : il contient un singleton de ma classe. C'est une propriété statique ^^

Je vois que self::$instance vaut le return du constructeur ?

Non, c'est un objet de type Session (ma classe quoi)

Déjà, il me semble qu'il faut écrire new Session (si Session est une classe objet), et pas new Session(). Ensuite, j'ai l'impression que ton constructeur ne renvoie rien du tout ?

Si si, $o_MonObjet = new MaClasse(); est tout à fait correct comme notation dans ce cas de figure. De plus ma classe fonctionne très bien de toute façon, je l'utilise d'ailleurs pour plusieurs autres applications.

Si le constructeur ne renvoie rien, que contient self::$instance ?

L'objet, l'instance quoi !

Pourquoi, et c'est bien, fais-tu un singleton pour la session, alors que tu laisses accessible le paramètre $creation_Ok (aucune fonction ne renvoie sa valeur, tu y a accès directement via $objet->creation_Ok ?) ?

En effet.

J'ai l'impression que ces deux façons d'appréhender ta classe sont très différentes l'une de l'autre ?

Et donc où est le problème ? Cette propriété ne me sert qu'à savoir si session_start() s'est bien passé ^^'

Ta fonction connecte m'a l'air bizarre. Non seulement le nom m'a l'air curieux pour ce qu'elle fait (c'est juste la fonction ecrit_Valeur pour un array) mais que fait le REMOTE_ADDR là dedans ? Pourquoi le mettre dans une telle fonction ? (car la même assignation se fera à chaque appel de cette fonction ... ?).

Ben justement, elle n'est appelée qu'une fois, au moment de la connexion (d'où le nom) ^^
Le REMOTE_ADDR sert à vérifier plus tard (d'où le "est_Connecté") si la session correspond bien à la même personne !!!

Pour répondre à ton problème, à savoir le fait que plusieurs fichiers de sessions se créent, je dirais que tu devrais ajouter des messages de test dans ton code, avec session_id(), pour voir où se situe le problème.

Le problème est simplement identifiable :
1) Lors du premier appel de session_start() (deuxième morceau de code dans mon message précédent), le premier fichier de session se crée, puis il est rempli par $_SESSION['authentication_ip'] = $_SERVER['REMOTE_ADDR']; et $o_Session->ecrit_Valeur("Utilisateur",$v_Objet);.
2) Lors du second appel de session_start() (troisième morceau de code), un second fichier est créé alors qu'il devrait lire premier !
D'ailleurs, c'est assez simple à comprendre puisque le deuxième session_start() n'est pas suivi par un remplissage de valeur dans le super tableau de session (cf. code)... D'où le deuxième fichier vide ! (0 Ko)

[Doonge]

Tout à fait pour l'objet session, je sais pas ce que j'ai fumé ^^



C'est quoi le nom de ton serveur ? (name server). Je sais pas si ça existe encore ce problème mais je me souviens que les sessions merdaient avec les sites qui contenaient un underscore dans leur nom (IE6).
En local, ce problème est transparent parce qu'on utilise souvent l'ip du serveur et pas le nom (192.168.x.x).

Vu que tu sembles penser que ce problème est spécifique à Internet Explorer et disparait quand on tourne en local (la seule différence étant souvent l'adresse d'accès), ça m'a l'air de ressembler à ça.

[Romanops]

Pour le moment, le site est installé en local chez mon client, et y est accédé en local (réseau local hein, pas en local sur la machine). Mais merci quand même ! Je le note pour plus tard.

[Doonge]

Donc quand toi tu testes en local chez toi, ça marche, et quand le client teste en local chez lui, le tout avec internet explorer, ça ne marche pas ?



edit:

Apparemment le problème des noms "illégaux" (avec _) semble encore exister avec internet-explorer.

Il faudrait que ton client donne les URLs des pages qu'il visite sur ton script. Cela permet de vérifier 2 choses :
1°) url de la page compatible avec les sessions et internet explorer.
2°) pas de différence majuscule/minuscule s'il tourne sur Linux et toi sur Windows (et ouais).

J'ai appris aussi que les images sans sources

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<img src="" />

posent aussi problème pour les sessions (le navigateur va sur la racine du site, ce qui crée éventuellement une session vide supplémentaire).



Je vois également via google qu'une réponse qui revient souvent est la suivante:

In most cases, this php line at file begining will be enough:

header('P3P: CP=”NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM”');

If it isn't, for IE7 you may also try:

header('P3P: CP=”NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM”');

header('Set-Cookie: SIDNAME=ronty; path=/; secure');

header('Cache-Control: no-cache');

header('Pragma: no-cache');

And if that doesn't work for IE6, you may use GET params for session ID:

header('location: land_for_sale.php?phpSESSID='.session_id());

Mais je ne sais pas ce que ça fait.

[Romanops]

Ahhhh !!! L'histoire du underscore s'est révélé être la source du problème !! En passant par l'ip du serveur (plutôt que le nom server_edb) tout fonctionne bien !

Bravo et merci encore pour votre aide !

Je pense que l'auteur originel du sujet pourra trouver votre réponse intéressante également. ^^

[Doonge]

Je suis étonné que ce problème existe encore chez internet explorer ...


depuis le temps ...