Slt,
Jusqu'à présent, mes variables d'authentification pour accéder à ma base de données sont dans un fichier config.php dans un répertoire hors domaine, donc pas accessible depuis le web.
ex :
serveur/www/index.php -> ma page d'accueil
serveur/conf/config.php -> Mon fichier avec variables d'authentification bdd.
Je souhaiterais par simplification mettre ces variables d'authentification en session pour éviter à chaque fois d'aller lire le fichier conf.
Est-ce sécure ?
Evidement, si je met un echo $_SESSION['login'] ou echo $_SESSION['pass'], je les affiche, mais est-ce possible de se les faire "pirater" ?
Sachant que mes session sont correctement protégé, je pense via une vérif à chaque chargement de page.
Merci
la communauté d'entraide francophone dédiée au PHP
Data sensible en session
salut,
C'est tout à fait possible sachant que les données de session reste sur le serveur.
Attention à bien prendre en compte l'initialisation des variables à chaque fois (parce que la première fois la session n'existe pas et que la session expire du coup y a moyen de se retrouver avec une erreur de connexion à la base de données.
Il y a des chances que cela t'emmerde plus que de laisser la chose ainsi
après si un "hacker" trouve une faille sur tout site et l'exploite il sera surement en mesure d'afficher le contenu des variables de session ou d'un fichier sur ton espace web (sachant qu'a la base il faut bien les initialiser ces variables. Le seul gain c'est que tu pourras utiliser des super globales correctement plutôt que définir des variables globales (le mieux serait des constantes dans ce cas).
Sachant que la connexion ne devrait être faite qu'une seule fois dans tout le script le gain est relativement maigre
Après ceci est limite un faux problème à partir du moment où ton hébergeur limite l'accès a ses bases de données que depuis son parc informatique (s'il le fait bien sur) ces informations sont peu utiles.
@+
C'est tout à fait possible sachant que les données de session reste sur le serveur.
Attention à bien prendre en compte l'initialisation des variables à chaque fois (parce que la première fois la session n'existe pas et que la session expire du coup y a moyen de se retrouver avec une erreur de connexion à la base de données.
Il y a des chances que cela t'emmerde plus que de laisser la chose ainsi
après si un "hacker" trouve une faille sur tout site et l'exploite il sera surement en mesure d'afficher le contenu des variables de session ou d'un fichier sur ton espace web (sachant qu'a la base il faut bien les initialiser ces variables. Le seul gain c'est que tu pourras utiliser des super globales correctement plutôt que définir des variables globales (le mieux serait des constantes dans ce cas).
Sachant que la connexion ne devrait être faite qu'une seule fois dans tout le script le gain est relativement maigre
Après ceci est limite un faux problème à partir du moment où ton hébergeur limite l'accès a ses bases de données que depuis son parc informatique (s'il le fait bien sur) ces informations sont peu utiles.
@+
Il en faut peu pour être heureux ......
