session_regenerate_id
(PHP 4 >= 4.3.2, PHP 5, PHP 7)
session_regenerate_id — Remplace l'identifiant de session courant par un nouveau
Description
$delete_old_session = FALSE
] ) : boolsession_regenerate_id() va remplacer l'identifiant de session courant par un nouveau, généré automatiquement, tout en conservant les valeurs de session.
Lorsque l'option session.use_trans_sid est active, la sortie pour affichage doit commencer après l'appel à la fonction session_regenerate_id(). Sinon, l'ancien ID de session sera utilisé.
Actuellement, session_regenerate_id ne gère pas bien un réseau instable. Par ex. réseau mobile et WiFi. Par conséquent, vous pouvez rencontrer une perte de session en appelant session_regenerate_id.
Vous ne devez pas détruire les anciennes données de session immédiatement, mais devez utiliser l'horodatage de destruction et contrôler l'accès à l'ancien ID de session. Sinon, l'accès simultané à la page peut entraîner un état incohérent, ou vous avez peut-être perdu la session, ou il peut provoquer la condition de course côté client (navigateur) et peut créer de nombreux ID de session inutilement. La suppression immédiate de données de session désactive également la détection et la prévention d'attaque de détournement de session.
Liste de paramètres
-
delete_old_session -
Si l'on doit effacer l'ancien fichier de session associé ou pas. Vous ne devez pas supprimer l'ancienne session si vous avez besoin d'éviter les courses causées par la suppression ou de détecter/éviter les attaques de détournement de session.
Historique
| Version | Description |
|---|---|
| 7.0.0 | session_regenerate_id() enregistre les anciennes données de session avant la fermeture. |
| 5.1.0 |
Ajout du paramètre delete_old_session.
|
Exemples
Exemple #1 Exemple avec session_regenerate_id()
<?php
// Note: ce code ne fonctionne pas complètement, c'est un exemple!
session_start();
// Vérifier l'horodatage de destruction
if (isset($_SESSION['destroyed'])
&& $_SESSION['destroyed'] < time() - 300) {
// Ne devrait pas se produire habituellement. Cela pourrait être une attaque
// ou en raison d'un réseau instable. Supprimez tout l'état d'authentification
// de cette session utilisateurs.
remove_all_authentication_flag_from_active_sessions($_SESSION['userid']);
throw(new DestroyedSessionAccessException);
}
$old_sessionid = session_id();
// Définir l'horodatage de déstruction
$_SESSION['destroyed'] = time(); // Depuis PHP 7.0.0 et supérieur, session_regenerate_id () enregistre les anciennes données de session
// Il suffit d'appeler session_regenerate_id() peut entraîner la perte de session, etc.
// Voir l'exemple suivant.
session_regenerate_id();
// La nouvelle session n'a pas besoin du timestamp de destruction
unset($_SESSION['destroyed']);
$new_sessionid = session_id();
echo "Ancienne Session: $old_sessionid<br />";
echo "Nouvelle Session: $new_sessionid<br />";
print_r($_SESSION);
?>
Le module de session actuel ne gère pas bien le réseau instable. Vous devez gérer l'ID de session pour éviter la perte de session par session_regenerate_id.
Exemple #2 Eviter la perte de session par session_regenerate_id()
<?php
// Note: ce code ne fonctionne pas complètement, c'est un exemple!
// my_session_start() et my_session_regenerate_id() évitent les sessions perdues
// par le réseau instable. En outre, ce code peut empêcher l'exploitation de
// session volée par les attaquants.
function my_session_start() {
session_start();
if (isset($_SESSION['destroyed'])) {
if ($_SESSION['destroyed'] < time()-300) {
// Ne devrait pas se produire habituellement. Cela pourrait être une
// attaque ou en raison d'un réseau instable. Supprimez tout l'état
// d'authentification de cette session utilisateurs.
remove_all_authentication_flag_from_active_sessions($_SESSION['userid']);
throw(new DestroyedSessionAccessException);
}
if (isset($_SESSION['new_session_id'])) {
// Pas encore complètement expiré. Pourrait être perdu cookie par réseau instable.
// Essayez à nouveau de définir le cookie d'ID de session approprié.
// Remarque: n'essayez pas de redéfinir l'ID de session si vous
// souhaitez supprimer l'état d'authentification.
session_commit();
session_id($_SESSION['new_session_id']);
// Nouvel ID de session doit exister
session_start();
return;
}
}
}
function my_session_regenerate_id() {
// Le nouvel ID de session est requis pour définir l'ID de session approprié
// lorsque l'ID de session n'est pas défini en raison d'un réseau instable.
$new_session_id = session_create_id();
$_SESSION['new_session_id'] = $new_session_id;
// Définie le timestamp de destruction
$_SESSION['destroyed'] = time();
// Ecrit et ferme la session courante
session_commit();
// Démarre la session avec un nouvel ID
session_id($new_session_id);
ini_set('session.use_strict_mode', 0);
session_start();
ini_set('session.use_strict_mode', 1);
// La nouvelle session n'en a pas besoin
unset($_SESSION['destroyed']);
unset($_SESSION['new_session_id']);
}
?>
Voir aussi
- session_id() - Lit et/ou modifie l'identifiant courant de session
- session_create_id() - Créer un nouvel ID de session
- session_start() - Démarre une nouvelle session ou reprend une session existante
- session_destroy() - Détruit une session
- session_reset() - Réinitialise le tableau de session avec les valeurs originales
- session_name() - Lit et/ou modifie le nom de la session
Version en cache
22/11/2024 12:40:16 Cette version de la page est en cache (à la date du 22/11/2024 12:40:16) afin d'accélérer le traitement. Vous pouvez activer le mode utilisateur dans le menu en haut pour afficher la dernère version de la page.Document créé le 30/01/2003, dernière modification le 26/10/2018
Source du document imprimé : https://www.gaudry.be/php-rf-session-regenerate-id.html
L'infobrol est un site personnel dont le contenu n'engage que moi. Le texte est mis à disposition sous licence CreativeCommons(BY-NC-SA). Plus d'info sur les conditions d'utilisation et sur l'auteur.
Références
Ces références et liens indiquent des documents consultés lors de la rédaction de cette page, ou qui peuvent apporter un complément d'information, mais les auteurs de ces sources ne peuvent être tenus responsables du contenu de cette page.
L'auteur de ce site est seul responsable de la manière dont sont présentés ici les différents concepts, et des libertés qui sont prises avec les ouvrages de référence. N'oubliez pas que vous devez croiser les informations de sources multiples afin de diminuer les risques d'erreurs.
