Problème de cookie

**debutantasp** · 25/05/2009, 17h44

Bonjour,
dans mon code de teste de login, le cookie ne s'écrit qu'après l'actualisation de ma page.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
<?php
if(empty($_POST['login']) || empty($_POST['pass'])) {
  echo"<script language=\"Javascript\">alert(\"Vous avez oublié de remplir un champ\");document.location.href='index.php';</script>";
 }
//Voici les deux tableaux des jours et des mois traduits en français
$nom_jour_fr = array("Dimanche", "Lundi", "Mardi", "Mercredi", "Jeudi", "Vendredi", "Samedi");
$mois_fr = Array("", "Janvier", "Février", "Mars", "Avril", "Mai", "Juin", "Juillet", "Août", 
        "Septembre", "Octobre", "Novembre", "Décembre");
// on extrait la date du jour
list($nom_jour, $jour, $mois, $annee) = explode('/', date("w/d/n/Y"));
$connexion_str=$nom_jour_fr[$nom_jour].' '.$jour.' '.$mois_fr[$mois].' '.$annee . ' à ' . date("H:i:s");
require("connexion.php");
if(isset($_POST['login']) && isset($_POST['pass'])) {
$test_login=("select * from membres where login='" . $_POST['login'] . "'");
$rs=mysql_query($test_login)or die ("Exécution de la requête impossible");
$data=mysql_fetch_assoc($rs);
if($data['pass']!=$_POST['pass']){
 $erreure = "Mauvais Pseudo ou Mot de passe. Merci de recommencer";
	echo"<script language=\"Javascript\">alert(\"$erreure\");history.back();</script>";
    exit;
  }
  else {
    setcookie("login", $_POST['login']);
	$sql="update membres set connexion_str='" . $connexion_str . "',online=1 where login='" . $_COOKIE['login'] . "'";
    $rsql=mysql_query($sql) or die("Erreur requête");
  }   
}
?>

**Xunil** · 25/05/2009, 18h44

Bah rien de plus normal

**debutantasp** · 25/05/2009, 20h15

Mais pourquoi le cookie ne s'écrit pas au premier temps

**Xunil** · 25/05/2009, 20h32

Car c'est le comportement logique des cookies.

Pour les détails techniques, je ne saurais trop t'expliquer, mais en y réfléchissant bien c'est tout à fait normal, tant que le navigateur n'a pas réactualisé la page, il n'a pas connaissance de la présence du cookie.

**debutantasp** · 26/05/2009, 02h57

C'est quoi l'intérêt de faire un cookie si il ne marchera que lors de l'actualisation de la page? Je veux l'utiliser au chargement de la page comme en asp.

**aityahia** · 26/05/2009, 10h42

Salut.

Envoyé par debutantasp

C'est quoi l'intérêt de faire un cookie si il ne marchera que lors de l'actualisation de la page? Je veux l'utiliser au chargement de la page comme en asp.

créer plutôt une session.
les cookies ne sont pas une valeur sur pour une authentification, vous pouvez les utilisé pour mémorisé le login sur le post qui a exécuté le POST.

FoxLeRenard · 26/05/2009, 14h30

Envoyé par debutantasp

Bonjour,
dans mon code de teste de login, le cookie ne s'écrit qu'après l'actualisation de ma page.

Bonjour,

J'interviens pour préciser quelques points

Les sessions et les cookies sont aussi sur l'un que l'autre heureusement.
Simplement les cookies sont parfois refusés par tes visiteurs, alors que la session c'est ton serveur qui la gére a son insus ...

Mais le mécanisme est le même pour les deux, quand on les changent c'est fait de suite bien sur !!
MAIS tu as bien assimilé, que le PHP agit pour générer les pages html
et disparait, alors regardes comment ça marche:

Imagines un PHP avec dans l'ordre

1) je lis mes sessions
2) je lis mes cookies
3) je captes mes POST et mes GET ....
4) je traites en foncion des POST GET et modifies mes cookies ou sessions
puis j'envoies ma page html au visiteur
5) MOI PHP je me retire jusqu'au prochain appel de page ...

Tu vois que dans ce shemat, comme je n'ais pas relu mes sessions ou cookies alors que je viens de les modifier, je perd un tour !!

C 'est pourquoi la régle d' or est non pas d'utiliser directement les sessions et cookies, mais les variables associées !!

comme ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
 
//==== illustration de l etape 1
if (!isset($_SESSION['age_capitaine']))   {$_SESSION['age_capitaine']=20;$age_capitaine=20;}
     else {$age_capitaine=$_SESSION['age_capitaine'];}
// ==== et apres  etape 3 4
 
$_SESSION['age_capitaine']=40;$age_capitaine=40;

Alors ça c'est la bonne méthode car
OUI j'ais mis a jour ma session
NON je ne l'ais pas relue
OUI ma variable associée est déjas a jour

**Xunil** · 26/05/2009, 14h45

Sauf qu'une variable de session, on peut la modifier et avoir sa valeur modifiée directement, contrairement aux cookies.

Envoyé par FoxLeRenard

Les sessions et les cookies sont aussi sur l'un que l'autre heureusement.

Les cookies aussi sûrs que les sessions ?

FoxLeRenard · 26/05/2009, 15h10

Envoyé par Xunil

Sauf qu'une variable de session, on peut la modifier et avoir sa valeur modifiée directement, contrairement aux cookies.

Les cookies aussi sûrs que les sessions ?

Même exemple,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
if (!isset($_COOKIE["toto"])) $UserValide="visiteur"; 
        else $UserValide=$_COOKIE["toto"];
 
//========= et donc si on change
$UserValide="FoxLeRenard";
setCookie('toto',$UserValide,(time()+60*60*24*365));

Tu vois le cookies est réécris, pas relu, mais sa variable associée est a jour

(merci de n'intervenir que si tu sais)

**Xunil** · 26/05/2009, 18h41

Non, rien

**greg13** · 26/05/2009, 18h52

Bonjour

J'ai une question pour les membres expérimentés :
Lorsque l'on crée une session, n'y a-t-il pas d'office un cookie créé chez le client, même si toutes les variables sont enregistrées sur le serveur?
Sinon comment le serveur peut-il se souvenir de "à qui appartiennent quelles variables"?

**SorenS** · 26/05/2009, 19h07

@greg13 : avec les sessions il y a un cookie sur l'ordi du visiteur. C'est son identifiant le PHPSESSID.
Ensuite avec l'identifiant de ce cookie il lit le reste des infos sur le serveur et non plus sur un cookie chez l'utilisateur

FoxLeRenard · 26/05/2009, 19h11

Envoyé par greg13

Bonjour

J'ai une question pour les membres expérimentés :
Lorsque l'on crée une session, n'y a-t-il pas d'office un cookie créé chez le client, même si toutes les variables sont enregistrées sur le serveur?
Sinon comment le serveur peut-il se souvenir de "à qui appartiennent quelles variables"?

Non les Cookies et les sessions sont séparées
Du reste le cookies est sur le micro du visiteur, et le serveur ne peut en voir la valeur que si le visiteur reviens sur le serveur !

La session est sur le serveur et y reste environ 20 minutes (paramétrage moyen)
cela veut dire que si tes données sont gérées par cookies ET par session,

Tu vas sur une page et tu y fais des choix, ....
mettons que le serveur te mette tes choix moitié sur ta session moitiée sur un cookies

TU PART manger une heure mais restes sur la page ...
au retour ta session et ces données sont perdus, pas le cookies bien sur !

**greg13** · 26/05/2009, 19h11

Ben voilà, donc au final, si on vole le cookie de session ou simplement l'identifiant de session, on peut utiliser la session volée. A moin que le script php ne contrôle l'ip de utilisateur. Alors ça limite largement le danger.

Si j'ai bien compris...

**SorenS** · 26/05/2009, 19h16

C'est pas aussi facile que ça. De plus, on sécurise souvent via la bdd. Perso, j'enregistre l'identifiant dans la bdd puis je gère à partir de là. (j'aime pas les cookies

)

Et puis ça se sécurise bien mieux les sessions :
http://cyberzoide.developpez.com/securite/session/

**greg13** · 26/05/2009, 19h28

Tu envois l'id de session à chaque requête alors (dans l'url)?

**SorenS** · 26/05/2009, 19h33

Non jamais dans l'url

C'est très mauvais pour le référencement (au passage).

Tu as d'autres moyens. Pas mal de tuto en parle

FoxLeRenard · 26/05/2009, 19h35

Envoyé par SorenS

@greg13 : avec les sessions il y a un cookie sur l'ordi du visiteur. C'est son identifiant le PHPSESSID.
Ensuite avec l'identifiant de ce cookie il lit le reste des infos sur le serveur et non plus sur un cookie chez l'utilisateur

Exactement, et il faut préciser qu'il existe un paramétre de PHP.INI
qui permet de se passer totalement de ce cookie .

Mais alors on se trimbale dans l'url le PHPSESSID d'une page a l'autre
alors c' est pas beau et c'est encore plus fragile coté sécurité !!

**greg13** · 26/05/2009, 19h37

Biensûr mais au final il faut bien transferer cet identifiant à chaque requête, soit dans les données POST soit dans les GET (url) soit par cookie. Je ne vois pas d'autre possibilité à priori. Mais c'est sûr que pour le référencement c'est pas top dans l'url.

Et donc en analysant les requetes entre un client et un serveur, on peut sans problème récuperer cet identifiant, à moin de chiffrer les données biensûr.

FoxLeRenard · 26/05/2009, 19h44

Envoyé par greg13

Biensûr mais au final il faut bien transferer cet identifiant à chaque requête, soit dans les données POST soit dans les GET (url) soit par cookie. Je ne vois pas d'autre possibilité à priori. Mais c'est sûr que pour le référencement c'est pas top dans l'url.

Et donc en analysant les requetes entre un client et un serveur, on peut sans problème récuperer cet identifiant, à moin de chiffrer les données biensûr.

Je ne sais a qui tu répondais

mais en fait il n'y a rien a faire dans 99% des cas la fonction

Code :

Sélectionner tout - Visualiser dans une fenêtre à part