Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

Data sensible en session

https://forum.phpfrance.com/viewtopic.php?f=8&t=276674

Page 1 sur 1

Data sensible en session

Posté : 01 août 2016, 13:46
par Ehplod
Slt,

Jusqu'à présent, mes variables d'authentification pour accéder à ma base de données sont dans un fichier config.php dans un répertoire hors domaine, donc pas accessible depuis le web.
ex :
serveur/www/index.php -> ma page d'accueil
serveur/conf/config.php -> Mon fichier avec variables d'authentification bdd.

Je souhaiterais par simplification mettre ces variables d'authentification en session pour éviter à chaque fois d'aller lire le fichier conf.
Est-ce sécure ?
Evidement, si je met un echo $_SESSION['login'] ou echo $_SESSION['pass'], je les affiche, mais est-ce possible de se les faire "pirater" ?
Sachant que mes session sont correctement protégé, je pense via une vérif à chaque chargement de page.

Merci

Re: Data sensible en session

Posté : 01 août 2016, 14:15
par moogli
salut,

C'est tout à fait possible sachant que les données de session reste sur le serveur.
Attention à bien prendre en compte l'initialisation des variables à chaque fois (parce que la première fois la session n'existe pas et que la session expire du coup y a moyen de se retrouver avec une erreur de connexion à la base de données.
Il y a des chances que cela t'emmerde plus que de laisser la chose ainsi ;)

après si un "hacker" trouve une faille sur tout site et l'exploite il sera surement en mesure d'afficher le contenu des variables de session ou d'un fichier sur ton espace web (sachant qu'a la base il faut bien les initialiser ces variables. Le seul gain c'est que tu pourras utiliser des super globales correctement plutôt que définir des variables globales (le mieux serait des constantes dans ce cas).
Sachant que la connexion ne devrait être faite qu'une seule fois dans tout le script le gain est relativement maigre ;)


Après ceci est limite un faux problème à partir du moment où ton hébergeur limite l'accès a ses bases de données que depuis son parc informatique (s'il le fait bien sur) ces informations sont peu utiles.


@+

Re: Data sensible en session

Posté : 01 août 2016, 14:28
par Ehplod
OK,

Donc, en résumé, si les sécurités sont mises correctement, c'est kif kif. :-)
C'est juste une choix perso d'ergonomie.

Merci

Re: Data sensible en session

Posté : 01 août 2016, 14:31
par moogli
oui, je ne pense pas que le chargement du fichier soit significatif entre une fois de temps en temps (avec complication du code) ou chargement systématique (mais code plus simple).

@+
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/