Php, sessions et sécurité
Thouars79
-
Thouars79 -
Thouars79 -
Bonjour,
J'ai essayé de me document mais je préfère demander à la communauté.
Je sais qu'il est possible avec un addon firefox de modifier les variables post qu'on transmet au navigateur.
Du coup je préfère utiliser les sessions.
1) L'utilisateur se connecte, on lui donne $_SESSION['utilisateur'] = sonid;
Quand il fait une recherche dans le site, dans ma requete je fais SELECT * FROM matable WHERE (criteres $_POST) AND idutilisateur= $_SESSION['utilisateur']
Comme ça je suis sûr qu'il n'est pas possible de récupérer les informations d'un autre.
Cependant... Est ce qu'il existe des outils ou un moyen de savoir quelles sont nos variables de sessions lorsqu'on est un sur un site et surtout de les modifier à la volée ? Du coup, est ce que ma requête vous parait sécurisée ?
J'aurai pas de pirates de haut niveau sur ce petit site mais si je tombe sur un bidouilleur/amateur de script kiddies mal intentionné ça risquerait de me poser problème.
Merci d'avance !
Abricotine
J'ai essayé de me document mais je préfère demander à la communauté.
Je sais qu'il est possible avec un addon firefox de modifier les variables post qu'on transmet au navigateur.
Du coup je préfère utiliser les sessions.
1) L'utilisateur se connecte, on lui donne $_SESSION['utilisateur'] = sonid;
Quand il fait une recherche dans le site, dans ma requete je fais SELECT * FROM matable WHERE (criteres $_POST) AND idutilisateur= $_SESSION['utilisateur']
Comme ça je suis sûr qu'il n'est pas possible de récupérer les informations d'un autre.
Cependant... Est ce qu'il existe des outils ou un moyen de savoir quelles sont nos variables de sessions lorsqu'on est un sur un site et surtout de les modifier à la volée ? Du coup, est ce que ma requête vous parait sécurisée ?
J'aurai pas de pirates de haut niveau sur ce petit site mais si je tombe sur un bidouilleur/amateur de script kiddies mal intentionné ça risquerait de me poser problème.
Merci d'avance !
Abricotine
A voir également:
- Php, sessions et sécurité
- Question de sécurité - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Easy php - Télécharger - Divers Web & Internet
- Clé de sécurité windows 10 gratuit - Guide
2 réponses
A moins de visualiser un cas de MITM où on modifie tout à la volée, les cookies de PHP sont plutôt sécurisés, surtout si on sait bien s'en servir.
Il faut d'abord se dire que les sessions PHP se transmettent au client par cookies HTTP, donc ça reste quand même modifiable, soit par un pirate, soit par le client lui-même (avec par ex. ton "addon firefox").
Le site de PHP y consacre même une page (en francais): https://www.php.net/manual/fr/session.security.php
Un script kiddie/hacker pourra s'approprier le cookie par contre.
D'où l'utilité ultime de spécifier un champ haché contenant l'IP à laquelle appartient la session ET un salage (salt), c-à-d une "clé" (des chiffre/lettre/n'importe quoi) que seul TOI possède, qui sera ajouté à l'IP.
Si une tierce personne (en dehors du même réseau que l'attaqué (IP WAN différente)) le copie et l'utilise, l'IP ne sera pas la même, et donc ton système aura le libre choix de lui dire d'aller voir ailleurs.
Et là, tu te garantis une bonne sécurité de base.
Il faut d'abord se dire que les sessions PHP se transmettent au client par cookies HTTP, donc ça reste quand même modifiable, soit par un pirate, soit par le client lui-même (avec par ex. ton "addon firefox").
Le site de PHP y consacre même une page (en francais): https://www.php.net/manual/fr/session.security.php
Un script kiddie/hacker pourra s'approprier le cookie par contre.
D'où l'utilité ultime de spécifier un champ haché contenant l'IP à laquelle appartient la session ET un salage (salt), c-à-d une "clé" (des chiffre/lettre/n'importe quoi) que seul TOI possède, qui sera ajouté à l'IP.
Si une tierce personne (en dehors du même réseau que l'attaqué (IP WAN différente)) le copie et l'utilise, l'IP ne sera pas la même, et donc ton système aura le libre choix de lui dire d'aller voir ailleurs.
Et là, tu te garantis une bonne sécurité de base.
