PHPSESSID

Répondre
Mido ban
le 22/02/2005 à 19:41
Mido ban
Ok jvous remercie pour vos infos...
enfait j'ai pas fait attention ,mais le sessid apparait seulement a l ouverture de la session, donc c'est normal si j'ai bien compris. :)
yop
Rex
le 22/02/2005 à 22:29
Rex
La transmission du SID dans l'URL présente un danger non pas pour la simplicité de transmission mais à cause du référant.

Imagines un webmail :
1/ J'envoie un email contenant un lien vers mon site
2/ Le gars n'a pas activé les cookies et le SID est donc transmit dans l'URL pour gérer la session
3/ Il clique sur mon lien dans l'email
4/ Je prend le HTTP_REFERER qui contient donc le SID
5/ Le script pointé par le lien fait une requête sur le webmail avec ce SID et il est donc identifié à ta place
6/ Le script parcourt tes emails, en envoie ...etc.

Bref, que du bonheur !

C'est pour cette simple raison que le use_only_cookie existe et que des webmails comme yahoo interdit l'utilisation du client mail sans les cookies.
Un hamster dit : J'ai dressé le scientifique, quand j'appuie sur le bouton, il me donne des graines
Bzh
le 23/02/2005 à 14:16
Bzh
Oui, mais entre temps, logiquement, ça session c' est terminé !!!

Quoique....oui t' as raison...

Je n' y avais pas pensé dans ce sens là...

Ciao...smiley
Rex
le 23/02/2005 à 14:27
Rex
En automatique, le script se connecte immédiatement.
Par contre, si je logue les SID, il peut se passer du temps entre la récupération et mon passage sur ton webmail. Seulement, si le webmail n'a pas un gros débit en utilisateur, le fichier de session peut exister pendant plusieurs jours avant que le GC ne le supprime.
Un hamster dit : J'ai dressé le scientifique, quand j'appuie sur le bouton, il me donne des graines
Répondre

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours