bonjour
comment faire pour mettre en place des cookie crypter car j'utilses pour le moment des cookie non crypter pour verifier si un utilisateur est connecter ou non.
je ne veux plus utiliser les sessions sur mon site car un simple cokkies peut faire le travail.
merci.

Tu fais une fonction dans laquelle tu t'invente un cryptage et tu en fait une autre avec son décryptage.
Exemple, changer tous les "a" par un code du style £...
Ensuite tu n'as plus qu'a mettre ces données cryptées dans ta variable $_COOKIE.

la dessus mon systemene est efficace se n'est pas a ce niveau que que je veux le crypter ou peut-etre que je me suis mal exprimer.
c'est pour que mes cookie soit accepter dans la plupart des configuration du navigateur.
voila ce qu'il y a dans mon cookie qui permet la connexion.

$rand = rand(1,9);//on prend un chiffre au hasard entre 1 et 9
for($i=0; $i<19; $i++) { $rand1=rand(0,9); $rand="$rand$rand1"; }//on prend 19 autres chiffres entre 0 et 9
$con =$rand;//on obtient un chiffre de 20 characteres
setcookie("con",$con);//on entre la valeur dans le cookie
//on insert la valeur dans la bd
//pour la recup j'utilise
$con = ereg_replace("([^0-9])",'',$_COOKIE['con']);//on verifie que le contenue du cookie ne soit que des chiffre sinon on vire les autres characteres
if($con != NULL)
{
//si tout est bon on remplie la variable qui permt la connection
}

merci quand meme _activmik

En fait tu veux que ton COOKIE soit intégré par tous les navigateurs, même ceux qui refusent les cookies ?
Si c'est ça, je sais pas si c'est possible ça Ce serait imposé quelque chose à l'utilisateur..

il y a differend niveaux de confidentialite si il bloque tous les cookie il est bien evident que la je ne peux rien ils ne pourront jamais se connecter mais d'un niveau inferieur accepter les cookie qui ont une strategie ou quelquelque chose comme sa.
et il est assez rare que quelq'un refuse tous les cookies

mon probleme est donc insoluble?
si il y a plusieurs niveau de blocage des cokkies, c'est bien que l'on peut atteindre l'avant dernier, le dernier etant le blocage total.
merci.

Mais pourquoi ne pas passer par des $_SESSION[''] ?!

Miam, c'est bon les cookies..



et pour être utile, les sessions, c'est mieux que les cookies, et ça marche même sans. Tu n'as pas a t'occuper des soi-disants "degrés" d'acceptation des cookies. Soit on accepte, soit pas. Taille max dans les 4096 caractères, maximum 20 par domaine, et max 400 en tout. C'est le minimum conseille, et donc le max pour IE6.

j'ai reussit a echapper de justesse une attaque par la session j'ai donc tout virer je preferent les cookie dont je verifie le contenue qui ne doit conetenir que des chiffre ou je bloque le script.
il a reussit a en tirer des password ma cle de cryptage md5 et plein d'autre info.
voila pourquoi je ne veux plus de session le risque est trop grand par rapport a ce quel apporte.

Si la personne qui t'en veut t'as attaqué par les sessions, ca va donner quoi avec les cookies ?

Enfin, c'est ton choix, et désolé je vois pas comment faire, mais je vais suivre ce fil de discussion avec attention

Est-ce que tu sais que le principe des sessions est de placer un cookie sur le poste client qui contient l'identifiant de la session.
Les données de la session sont quand a elles stockées sur le serveur. Le serveur est généralement sécurisé et donc ces informations sont inaccessible sans authorisation.

Je n'ai pas tout compris dans ton système, mais tu va réinventer le principe des sessions, et donc créer un truc moins performant (une surchouche est plus lente qu'un fonctionnement intégré au coeur), moins sécurisé et moins bien pensé (par exemple, le système de portage du sessid dans l'url si refus du cookie)

Franchement, décrit nous l'attaque que tu as subis, qu'est-ce qui t'a permis de la remarquer et qu'est-ce que te fait penser que ton système est plus sécurisé ?

PS : d'expérience, je sais que quand on essaye de redévelopper les système de sécurité de PHP, c'est qu'on part dans la mauvaise direction

j'ai deja apporter ne reponse ici

http://www.phpfrance.com/forums/voir_sujet-242037.php
merci a tous

Alors, plusieurs réponses :
1/ un fichier de session côté serveur contient plus que le sessid. C'est le cookie client qui ne contient que le sessid.
2/ La taille maximale des sessions peut être configurée directement via la conf PHP (donc possible avec un code PHP ou un .htaccess)

Sinon, je ne comprend pas pourquoi tu as absolument besoin d'un cookie pour vérifier qu'il n'y ai que des chiffres
Je ne sais pas si je suis encore en vacances où si je suis plus simplement idiot, mais j'ai pas compris ce que changerais le cookie par rapport à la session.

cela evite les attaques par cookie j'y est penser aussi je verrouille tous

un cookie pour éviter les attaques par cookie ?

De ce qu'il me semble comprendre de ton autre post, c'est la requête vers ta bd qui est la cible. Je me concentrerais la dessus.