Discussion :

[Benamour Jr]

Bonjour

Mon site est développé de tel sorte que lorsque quelqu'un se connecte pour accéder à un espace membre, cela crée un cookie nommé PSEUDO qui contient... le pseudo du membre. Ce $_COOKIE['pseudo'] est automatiquement transformé en $_SESSION['pseudo'] quand le membre arrive sur mon site. A partir de ce $_SESSION['pseudo'] j'affiche des informations sur le membre. Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<?php
$req = $bdd->prepare('SELECT email FROM membre WHERE pseudo = :pseudo');
$req->execute(array('pseudo' => $_SESSION['pseudo']));
$req_fetched = $req->fetch();
$email = $req_fetched['email'];
echo 'ton email est : ' . $email;
?>

Mais ca pose un GROS problème de sécurité non ? Si j'ai bien compris n'importe quel pey peut modifier un cookie, donc si monsieur X remplace le pseudo présent dans son cookie par le pseudo d'un autre membre du site... il aura accès à toutes ses données !? Si c'est bien le cas, quelle est la solution ?

[guigo]

Pourquoi ne travail tu pas directement sur les sessions ?
Sinon tu peux aussi faire des cookie en criptant tes données. Ca ajoute un peu de sécurité.

Guigo

[Benamour Jr]

Bha je trouve les cookies quand meme bien pratique, histoire que le visiteur puisse revenir le lendemain sans devoir retaper son pseudo/mdp pour accéder à l'espace membre.

Concernant ta solution, je suis pas tres convaincu, car si je crypte le cookie pseudo avec un md5 ou sha1, le hacker n'a qu'à obtenir le md5/sha1 du pseudo qu'il veut "hacker" pour contourner le bazar. Ou alors j'ai pas compris ce que tu m'as dit ^^

[RunCodePhp]

quelle est la solution ?

Il y en a pas vraiment.
Par contre, au lieur de mettre un pseudo, tu pourrais y mettre l'ID de session, car dès qu'un personne arrive sur le site, une session est crée, qu'il y ait ou pas de cookie.

Par contre, si un cookie du même domaine existe, c'est celui ci qui sera réutilisé (sauf s'il est expiré).
Un ID de session étant une suite de 32 caractères aléatoires, ça limite la casse.

Puis si le cookie existe, et que la session est reprise, reconduite, les données de l'utilisateur y seront, entre autre son pseudo.

Par contre, au lieu de stocker un pseudo, le mieux serait de stocker un ID du membre, qui lui serait unique, comme la clé primaire de la table "membre" (en auto_incremente).
Donc même si un pirate venait à visualiser le contenu de la session, un ID n'est pas très explicite en général, ça peu limiter la casse dans un cas pareil.

[Benamour Jr]

Fort bien, merci pour ces précisions !