Discussion :

[Lucas Panny]

Bonjour,

J'ai remarqué que VBulletin est un des seules sites PHP à connexion dont la session fonctionne même si les cookies sont désactivés dans le navigateur
Pour cela, dans tous les liens nécessitant une session, le serveur a ajouté par ex (l'identifiant de connexion je pense)

Mais ce que je me demande: est-ce que le serveur peut savoir que le browser du visiteur supporte ou pas les cookies?
Ou y a-t-il un code Javascript quelque part dans le script lui indiquant?

[grassel]

Il s'agit d'une fonctionnalite "native" de PHP

C'est PHP lui-même qui teste la possibilité de transmission par coockie.
Si c'est impossible (par ex. désactivation par le client), il modifie les liens automatiquement pour transmettre l'identifiant (?PHPSESSID=xxxxxxxxxxx)

[Lucas Panny]

Il s'agit d'une fonctionnalité "native" de PHP

C'est PHP lui-même qui teste la possibilité de transmission par cookie.
Si c'est impossible (par ex. désactivation par le client), il modifie les liens automatiquement pour transmettre l'identifiant (?PHPSESSID=xxxxxxxxxxx)

Ah bon!
Or les sites PHP comme Facebook, etc ne fonctionnent pas sans cookie!
Donc c'est le serveur qui détecte que le browser a désactivé les cookies? Je crois qu'il faut JavaScript pour lui indiquer cela non?
Exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<script language="JavaScript">
function testCookie()
{
if(navigator.cookieEnabled) 
	document.getElementById("lucas").innerHTML="<input type=hidden name=avecCookie value=1>"; 
else 
	document.getElementById("lucas").innerHTML="<input type=hidden name=sansCookie value=1>";
}
</script>
</head>
 
<body>
<form id="lucas" method="post" action="page2.php">
	<script language="JavaScript">testCookie();</script>
	<input type="submit" value="Envoi">
</form>
</body>
</html>

[grassel]

tu peux effectivement tester l'activation du cookie et fonction de la réponse adapter le déroulement du script.

Ce que je voulais dire c'est que le test n'est pas obligatoire et que PHP passera l'identifiant de session par URL si cookie désactivé.

Maintenant si certains sites bloquent le passage par URL... ceci dépasse de loin mes compétences.

Mais de base, PHP choisit cookie / url

pascal

[12monkeys]

Bonsoir

En fait ça dépend de la configuration de php lui même, en fonction de 3 directives du php.ini : session.use_cookies (utilisation des cookies pour stocker l'id de session), session.use_only_cookies (faut il utiliser uniquement les cookies) et session.use_trans_sid (indique si le support du SID (passage de l'id de session par l'url) est activé ou pas).

http://php.developpez.com/faq/?page=...ons_confphpini et http://www.php.net/manual/fr/session.configuration.php

[grassel]

merci pour les précisions

et bonne fin de soirée de Moselle également
pascal

[Lucas Panny]

En fait, l'utilisation de l'id de session directement dans l'URL n'aggrandit pas le risque de vol de session
c'est à dire que si quelqu'un copie l'URL pour le visiter sur sa machine, il peut voir et modifier mon profil

[12monkeys]

En fait, l'utilisation de l'id de session directement dans l'URL n'aggrandit pas le risque de vol de session
c'est à dire que si quelqu'un copie l'URL pour le visiter sur sa machine, il peut voir et modifier mon profil

Si, le lien que j'ai donné le signale :

Le système de gestion des sessions par URL pose un risque supplémentaire de sécurité : un utilisateur peut envoyer son URL avec l'identifiant de session par email à un ami, ou bien le mettre dans ses signets. Cela diffusera alors l'identifiant de session.

Egalement : http://julien-pauli.developpez.com/t...ons-et-cookies

[Lucas Panny]

Merci sur le lien vers le site de julien pauli
Ça explique tout

J'ai fait un test: tester un lien de mon profil DVP avec trans-id sur un autre PC
Et ben ça ne marche pas, il faut re-saisir login+mdp
Notre site est bien protégé