Forum d'entraide PHPFrance

Bonjour,

je voulais savoir quelle est la méthode la plus propre pour sécuriser une session.

J'ai vu ce lien:

http://www.phpcs.com/codes/PHP5-CLASSE- ... 34419.aspx

Mais c'est un peu compliqué je trouve, le sessions_start() est-il si nul que ça?

Pour ma part je fais un session_start() quand le visiteur arrive sur mon site, je test ensuite son login/mot de passe et si c'est bon je passe des valeurs en $_SESSION.

Je voulais lancer le débat en fait à savoir quelle est pour vous la méthode la plus sécure pour la session sous php?

salut
pour ma part j'ai fait en sorte de regenerer l'id de session à tout chargemnt de page mais avec un time mini de 30 seconde pour eviter les erreurs de traitement sur le server. en plus de cela je controle chaque variable de session afin quel soit enregistrer que pour la durer minimum nessecaire à elles mêmes.

je pense que cela est assez correct car l'usurpation de session est quasi imposible.
Tu remarquera quand même que protèger une session et une bonne chose mais que cela depend aussi de ce que tu y enregistre et de ce que tu peut laisser comme trace sur tonsite pour qu'un p'titi malin arrive à faire en sorte de trouver des info sensible.

enfin apres, c'est à toi de definir quel degré de seurité tu souhaite en fonction de ton projet

Oui sécuriser ta session c'est important, bien que pour moi le plus important reste de crypter les mot de passe et les données.

Sur ce script on vois qu'il définis par exemple les temps d'un cookies, ce genre d'options que tu peux gerer avec le PHP.ini

En fait ce qui reste le plus sur c'est de securiser la base, les insertions, les requetes, plutôt que de tout baser sur les sessions, après pour les sessions les AES_ENCRYPT et autre md5() permettent déjà pas mal de sécurité.