Page 1 sur 1
session en texte clair
Posté : 31 déc. 2008, 01:46
par elgaucho
voila alors je viens de m'appercevoir que les fichiers de session sont en texte clair!
je trouve sa bizarre d'autant plus que si quelqu'un a acces au dossier de session il pourra connaitre
toute les variable de ssession juste en editant le fichier avec notepad .
il y a t-il un moyen pour que ce texte soit cryptée?
Posté : 31 déc. 2008, 15:23
par AB
Si quelqu'un a accès à tes sessions c'est qu'il peut pirater ton serveur, et là avec ou sans sessions, tu es très mal
Sinon rien ne t'empêche de crypter le contenu de ce que tu mets en session. Cela dit si on te pirate le serveur, on aura accès à tes scripts php donc également à ton système de décryptage...
Posté : 02 janv. 2009, 19:23
par Aureusms
AB a raison, les sessions sont côté serveur donc (théoriquement) inaccessible pour le commun des internautes. Pour éviter les fixation de session, la fonction session_regenerate_id
http://fr.php.net/manual/fr/function.se ... ate-id.php te permet de changer le numéro d'identification de la session sur le serveur tout en conservant les données inscrites.
Posté : 02 janv. 2009, 19:37
par AB
D'ailleurs en complément du message d'Aureusms, depuis php 5.1.0 tu peux indiquer avec le paramètre "delete_old_session" sur true, d'effacer les anciennes sessions cf Doc.
Posté : 03 janv. 2009, 23:31
par Invité
ok merci des conseilles !!
@*+