Sessions sécurisées sans mysql est-ce possible
Bonjour, c'est mon premier message ici, si je demande c'est parceque je voudrais bien votre avis avant de m'engager sur X ou XX voie...
Je ne veux pas raconter ma vie, mais je n'ai pas actuelleent les moyens de m'offrir (en hébergement 'propre') plusieurs bases mysql pour accueillir mes sites.
Je cherche donc à savoir (comme j'apprend php) si il est possible de bien sécuriser un site offrant la possibilité d'ouvrir des sessions avec infos privées, avec php sans mysql et de préserver ses sessions des 'bads hackers' et autres 'indiscrets'.
Je veux dire, stocker de facon vraiment sécurisée des infos dans un dossier sur un support de fichiers .txt, .php ou .html ...
Est-ce qu'a votre avis c'est de la science fiction ou du délire, ou est-ce possible (?)
Cette discution m'avait intéressée, mais j'aurais voulu encore en savoir plus...=>
http://www.lephpfacile.com/forum/1-php-mysql/5036-txt-qui-va-php-qui-ne-va-pas
Je débute... (Certains niveaux de techniques peuvent me dépasser, mais je comprend dans l'ensemble).
Par avance merci.
a=b ; b=c ; c=a
(Petit additif) après avoir fait un bon tour (de facon régulière) sur le "site du zeo, manuel php..." je suis en train de lire ça et je trouve que c'est convainquant... Qu'en pensez vous ?)
http://www.php-astux.info/sessions-php.php
Est-ce que cette méthode vous parrait convaicante ?... Sans failles ?...
a=b ; b=c ; c=a
Que souhaites tu faire ?
La, je ne vois pas trop où tu veux aller.
Les sessions servent à véhiculer des informations de page en page pour un utilisateur donné.
Cela "ne sécurise pas" un site.
Bonjour, je ne veux pas faire des session pour sécuriser, mais des sessions suffisemment sécurisées. (sans mysql est-ce possible ? Voila la traduction N° 2 de ma question)
Pour planter un peu + le décor, je me suis fait hacké à cause de sessions (sans sql) et je me demande ici en votre présence de connaisseurs, si il est possible de mieux sécuriser ses sessions et sans sql, est-ce possible...Voili, je suis surpris que ce n"ai pas été compris ainsi...
A + et a lire toutes les infos, je serais enchanté d'avoir des avis...
a=b ; b=c ; c=a
salut,
En règle général une faille de sécurité est codée par le développeur.
si tu t'est fait hacké c'est que tu a laissé une faille. Il te faut prévoir tous les cas possible; vérifier tous les données fournis par les formulaires (utilisation de mysql_real_escape_string()) user et abuser de if / else.
La première règle est de ne pas faire confiance aux données fournis par les formulaires, même (et surtout) quand elles sont dans champs hidden, ou qu'elles proviennent d'un cookie.
Bref il est possible de "sécuriser" des sessions par le code. Sache que si le problème du système de session de php, ce serais aussi un truc "mal fait" par un dev mais on en est pas encore la :)
Bref montre nous un exemple de code de ce que tu fait et l'on pourras te dire s'il y a des choses qui nous paraisse invraisemblable.
@+
Il en faut peu pour être heureux !!!!!
Merci à vous pour vos réponses.
J'avais présenté ce lien, si tu veux y faire un tour (pas la peine que je recopie les scripts ici je pense)
http://www.php-astux.info/sessions-php.php
à ton avis, est-ce que cette façon de créer des sessions est suffisemment fiable aujourd'hui et puis-je m'en inspirer sans crainte (?)...
a=b ; b=c ; c=a
Je ne comprend toujours pas ce que tu veux faire.
Tu dis que tu t'es fais hacker à cause de sessions qui n'étaient pas stockées en SQL.
Et tu nous montres un article qui ne parle pas du tout du lieu de stockage des données de sessions :/
Le stockage par défaut de PHP des sessions (dans des fichiers sur le filesystem) est fiable.
Comme dit moogli, à toi de controler ce que tu mets et ce que tu utilises dans tes sessions.
"Je ne comprend toujours pas ce que tu veux faire."
(J'ai noté vos conseils) pour le reste, j'avais fait un système d'identification par cookie et j'ai donc eu des soucis. J'administre 2 sites en écrivant et stockant les infos via un formulaire dans des fichier .txt qui se trouvent dans un sous dossier sur le serveur. Je voulais maintenant passer à un système d'identification et de création par sessions .php sans sql et je cherchais donc un bon tuto.
En parallèle, j'étudies php sur des sites tel que le site du zero...
Si tu me réponds "le stockage par défaut de PHP des sessions (dans des fichiers sur le filesystem) est fiable."... J'en déduis donc qu'à la base je ne suis pas sur une mauvaise piste, mais qu'il faut que je renforce la sécurité.
J'ai noté aussi qu'il ne fallait pas être avare de "if" et "else" pour ce renforcement.
a=b ; b=c ; c=a
(Le lien vers le tuto c'était pour avoir un avis 'avisé' sur ce tuto et sur sa fiabilité comme base de travail)
a=b ; b=c ; c=a
OK, je comprend mieux.
En fait, tu n'utilisais pas un vrai système de session :) Mais un système bricolé ou tu écrivais dans un fichier texte.
Dans l'absolu, ca peut être fiable aussi comme solution, mais bien sur, si le fichier texte est accessible via apache, c'est la merde :)
