occitech Posté 10 Décembre 2007 Posté 10 Décembre 2007 Bonjour, Je constate que lorsqu'on suit le fait que le visiteur soit loggé avec une variable de session, au bout d'un certain temps d'inactivité la variable de session est détruite.... Je présume que cette durée est déterminée par le paramètre session.gc_maxlifetime par défaut à 1440 soit 24 minutes...(???) S'agit-il bien d'une durée d'inactivité ou absolue ? D'autre part, certains sites réussissent à conserver la session à l'issue de cette durée....comment font-ils ? En utilisant un cookie ? Quelqu'un a-t-il un script de log par cookie efficace et sécurisé (pas l'id du client quoi....) Merci par avance Etienne
Anonymus Posté 10 Décembre 2007 Posté 10 Décembre 2007 Bonjour, Pour ce qui est de la session que certains sites arrivent à faire 'durer' : Simple, ils stockent les informations dans une base de données, au lieu de laisser le gestionnaire de sessions s'en occuper Pour ce qui est du problème de l'id de l'utilisateur. Le mien, pour ce forum, c'est 41. Simple, regardes : http://www.webmaster-hub.com/index.php?showuser=41 Pour autant, ca ne veut pas dire que tout le monde peut accéder à mon compte. Donc, le fait de stocker cet id dans un cookie n'est pas un risque en soi. Pour autant, cet id ne suffit pas, c'est clair
occitech Posté 10 Décembre 2007 Auteur Posté 10 Décembre 2007 Bonsoir, Merci pour ta réponse. Bien sur je stocke moi aussi les infos dans une base....héhé, mais si je n'ai plus l'ID du user en cours, c'est la le pb. Donc qqpart on est bien obligé d'utiliser une session OU un cookie.
Anonymus Posté 10 Décembre 2007 Posté 10 Décembre 2007 Ok, alors tu stockes l'ID de l'user en cours, auquel tu rajoutes l'IP de l'user, tu mets le tout dans un cookie, que tu cryptes d'une manière ou d'une autre. Ca te fait des identifiants, que l'on ira pas cracker. Pour finir, tu autorises l'accès à l'IP uniquement.
KnockedMaster Posté 10 Décembre 2007 Posté 10 Décembre 2007 (modifié) Sauf que certaisn ont des ip dynamiques qui changent toutes les 5 minutes, donc pour ceux-là c'est tintin. Se fier aux ip pour identifier un visiteur n'est pas une solution efficace je pense. Pourquoi ne pas simplement travailler sur base d'un cookie ? J'ai pas de script sous la main mais ça doit être faisable assez facilement si tu travailles en parallèle avec des bases de données. @+ Edit :pas vu que tu voulais créer un cookies à partir de l'ip de départ pour obtenir un "pass" unique, j'ai cru que tu te fiais uniquement à l'ip ... Modifié 10 Décembre 2007 par KnockedMaster
occitech Posté 11 Décembre 2007 Auteur Posté 11 Décembre 2007 Dans mon phpinfo j'ai vu ces 2 paramètres que j'ai comparé avec un ami, qui lui n'a pas de perte de session après 24 minutes (sans utiliser de cookie) : session.name = PHPSESSID (lui SESSID) session.use_only_cookies = 0 (lui 1) Cela peut-il avoir un impact ?
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant