Bonjour,

J'aurais aimé savoir s'il était possible de modifier une session d'un site.
Car j'utilise dans mon espace membre une session où j'ai seulement mon id et si la session id existe c'est que la personne est connecté et il peut tout faire sur son compte dont des choses qu'il faut que lui seul puisse faire.

Donc faut-il que je fasse une autre session que la session id comme une sessions mot de passe que je verifie à chaques actions importantes?

En réflechissant, je crois me rappeler que les sessions sont enregistrées sur le "FTP" du site donc impossible des les modifier.

Merci pour votre aide.

Yoop
L'avantage de la session est que c'est une variable qui se trouve coté serveur donc à priori il est impossible de la pirater.
Sinon, pour ton système de session, tu peux essayer de vérifier login et mot de passe, puis ensuite si les id sont bon, tu démarre une session en stockant les id,l'adresse IP et un timestamp. Tu stockes aussi ces infos dans une base de données. Ensuite, à chaque appel d'une page importante, tu vérifie que l'IP est la même et que le temps qui s'est écoulé n'est pas trop long entre la première et la dernière action et tu réactualise. Voili voilou
Bonne aprem

Tu peux donc parfaitement mettre un $_SESSION['ip'], $_SESSION['password'] ou encore un $_SESSION['truc_pas_tres_utile_mais_pour_le_fun']


Lpu8er

Citation : N@shh

Sinon, pour ton système de session, tu peux essayer de vérifier login et mot de passe, puis ensuite si les id sont bon, tu démarre une session en stockant les id,l'adresse IP et un timestamp. Tu stockes aussi ces infos dans une base de données. Ensuite, à chaque appel d'une page importante, tu vérifie que l'IP est la même et que le temps qui s'est écoulé n'est pas trop long entre la première et la dernière action et tu réactualise.

C'est le principe de la session, elle se détruit toute seul.


Merci pour vos réponses, je vais faire comme ça alors.

Si j'étais toi, j'enregistrerai aussi le mot de passe crypté

Je sais, je l'enregistre en crypté avec md5.

Citation : Arthas

Je sais, je l'enregistre en crypté avec md5.

Dans $_SESSION également ?

Moi, j'enregistre l'id et le mdp crypté, comme ça, à chaque page, j'ai plus qu'à faire :

Bonne idée, je vais faire cela pour plus de sécurité.

ouai plutot que d'avoir 3 ou 4 sessions, fais un
$_SESSION['connecte'] = array('id' => $id_mbr,
'pseudo' => $pseudo,
'ip' => $ip);

plutot que 3 sessions

Citation : duxy

ouai plutot que d'avoir 3 ou 4 sessions, fais un
$_SESSION['connecte'] = array('id' => $id_mbr,
'pseudo' => $pseudo,
'ip' => $ip);

plutot que 3 sessions

Pourrais-tu m'expliquer un peu plus comment ça marche au niveau de l'appel des variables après?
Sinon mettre l'IP n'est pas une très bonne idée pour les ordinateurs avec IP changeantes.

Citation : duxy

ouai plutot que d'avoir 3 ou 4 sessions, fais un
$_SESSION['connecte'] = array('id' => $id_mbr,
'pseudo' => $pseudo,
'ip' => $ip);

plutot que 3 sessions

Deux sessions Il ne stocke pas le pseudo dans les $_SESSION

Mais en fait, je vois pas à quoi ça sert de ne créer qu'une session au lieu de 2, à part à rendre la variable plus compliquée

Bon, je reste comme ça alors.


Merci pour votre aide.