Session vs cookie
Fermé
Livvie
-
30 mai 2013 à 20:15
JooS Messages postés 2468 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 8 juin 2016 - 2 juin 2013 à 17:26
JooS Messages postés 2468 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 8 juin 2016 - 2 juin 2013 à 17:26
A voir également:
- Session vs cookie
- Udp vs tcp - Guide
- Supprimer cookie - Guide
- Associez chaque situation à l’action la plus appropriée en matière de sécurité informatique : verrouiller la session, quitter la session, ne rien faire ou éteindre l'ordinateur. - Forum MacOS
- Mo vs mb ✓ - Forum Matériel & Système
- Naruto vs pain épisode netflix ✓ - Forum Cinéma / Télé
2 réponses
JooS
Messages postés
2468
Date d'inscription
mardi 22 janvier 2008
Statut
Membre
Dernière intervention
8 juin 2016
228
31 mai 2013 à 22:47
31 mai 2013 à 22:47
Salut,
Un tel site nécessite une base de données, donc tes commerçants doivent s'inscrire avant de pouvoir poster, lors de l'envoi du formulaire d'inscription, les informations sont enregistrés dans la base de données.
Lors de l'envoi du formulaire de connexion, si les informations envoyés(pseudo + mot de passe) correspondent a un commerçant enregistré dans ta base de données, alors tu charges les informations de l'utilisateur concerné(nom, prénom ...) dans une variable de session.
Les cookies ne sont pas faits pour ce genre de processus car ils ne sont pas sécurisés, et peuvent être modifié par le poste client.
Concernant les sessions, ils sont plus sécurisés, mais ont aussi des failles, vu qu'ils sont basés sur une utilisation de cookies.
Donc le mieux, c'est d'enregistrer ces mêmes sessions dans une base de données.
Un tel site nécessite une base de données, donc tes commerçants doivent s'inscrire avant de pouvoir poster, lors de l'envoi du formulaire d'inscription, les informations sont enregistrés dans la base de données.
Lors de l'envoi du formulaire de connexion, si les informations envoyés(pseudo + mot de passe) correspondent a un commerçant enregistré dans ta base de données, alors tu charges les informations de l'utilisateur concerné(nom, prénom ...) dans une variable de session.
Les cookies ne sont pas faits pour ce genre de processus car ils ne sont pas sécurisés, et peuvent être modifié par le poste client.
Concernant les sessions, ils sont plus sécurisés, mais ont aussi des failles, vu qu'ils sont basés sur une utilisation de cookies.
Donc le mieux, c'est d'enregistrer ces mêmes sessions dans une base de données.
merci pour ta réponse mais tu me dis pas comment enregistrer ces sessions dans une base de données. j'ai jamais entendu d'une telle chose !!
JooS
Messages postés
2468
Date d'inscription
mardi 22 janvier 2008
Statut
Membre
Dernière intervention
8 juin 2016
228
Modifié par JooS le 2/06/2013 à 17:51
Modifié par JooS le 2/06/2013 à 17:51
Le danger en utilisant une session c'est que quelqu'un puisse la voler, or que le cookie de session soit volé.
Chaque session possède un identifiant qui est enregistré dans le cookie de session, si je connais ton identifiant, je peut te piquer ta session.
Donc, lorsque l'utilisateur se connecte, tu enregistre dans ta base de données l'identifiant de session pour dire que telle session est déjà prise.
Le champs de l'id de session dans la table est une clé primaire, car un identifiant doit être unique a un moment donnée.
A chaque actualisation, si la variable de session existe, tu vérifie si son identifiant existe déjà dans la base de donnée, si c'est le cas, alors soit c'est une tentative de piratage, soit le système a fait une erreur en attribuant un même identifiant a deux utilisateurs différents (cas très rare), dans les deux cas "destruction de la session".
Si tu fait déconnexion, n'oublie pas de supprimer la session concerné (dans la bd).
Concernant les déconnexions automatiques, ça dépend du temps de vie d'une session.
Tu peut ajouter un champs "date" dans la table des sessions, pour dire que telle session a été créée lors de telle date, donc tu vérifie a chaque actualisation si il n'y a pas une session dont le temps a expirer, si c'est le cas => suppression du tuple de la table.
Chaque session possède un identifiant qui est enregistré dans le cookie de session, si je connais ton identifiant, je peut te piquer ta session.
Donc, lorsque l'utilisateur se connecte, tu enregistre dans ta base de données l'identifiant de session pour dire que telle session est déjà prise.
Le champs de l'id de session dans la table est une clé primaire, car un identifiant doit être unique a un moment donnée.
A chaque actualisation, si la variable de session existe, tu vérifie si son identifiant existe déjà dans la base de donnée, si c'est le cas, alors soit c'est une tentative de piratage, soit le système a fait une erreur en attribuant un même identifiant a deux utilisateurs différents (cas très rare), dans les deux cas "destruction de la session".
Si tu fait déconnexion, n'oublie pas de supprimer la session concerné (dans la bd).
Concernant les déconnexions automatiques, ça dépend du temps de vie d'une session.
Tu peut ajouter un champs "date" dans la table des sessions, pour dire que telle session a été créée lors de telle date, donc tu vérifie a chaque actualisation si il n'y a pas une session dont le temps a expirer, si c'est le cas => suppression du tuple de la table.