Passer l'identifiant de session (session ID)
Il y a deux méthodes de propagation de l'identifiant de session :
- Cookies
- Par URL
Le module de session supporte les deux méthodes. Les cookies sont optimaux, mais comme ils ne sont pas sûrs (tous les internautes ne les acceptent pas), ils ne sont pas fiables. La seconde méthode place l'identifiant de session directement dans les URL.
PHP est capable de faire cela de manière transparente. Si l'option de compilation session.use_trans_sid est activée, les URLs relatives seront modifiées pour contenir l'identifiant de session automatiquement.
Note:
L'option arg_separator.output de php.ini vous permet de personnaliser le séparateur d'arguments. Pour être complètement en accord avec les spécifications XHTML, spécifiez & ici.
Alternativement, vous pouvez utiliser la constante SID
qui est définie si la session a commencé. Si le client n'envoie pas un cookie de session
approprié, il aura la forme session_name=session_id.
Sinon, il vaudra une chaîne vide. Ainsi, vous pouvez dans tous les cas
l'inclure dans l'URL.
L'exemple suivant vous montre comment enregistrer une variable et comment
réaliser un lien correct avec une autre page, avec
SID.
Exemple #1 Compter le nombre de passages d'un utilisateur sur une page
<?php
session_start();
if (empty($_SESSION['count'])) {
$_SESSION['count'] = 1;
} else {
$_SESSION['count']++;
}
?>
<p>
Bonjour visiteur, vous avez vu cette page <?php echo $_SESSION['count']; ?> fois.
</p>
<p>
Pour continuer, <a href="https://www.gaudry.be/php-rf-nextpage.html?<?php echo htmlspecialchars(SID); ?>">cliquez ici</a>.
</p>
La fonction htmlspecialchars() est utilisée lors de l'affichage
du SID dans le but de contrer les attaques XSS.
L'affichage du SID, comme montré dans l'exemple
ci-dessus, n'est pas nécessaire si
--enable-trans-sid a été utilisé pour compiler
PHP.
Note:
Les URL non-relatives sont considérées comme externes au site, et ne recevront pas le
SID, car la fuite duSIDvers un serveur différent présente un risque de sécurité important.
Document créé le 30/01/2003, dernière modification le 26/10/2018
Source du document imprimé : https://www.gaudry.be/php-rf-session.idpassing.html
L'infobrol est un site personnel dont le contenu n'engage que moi. Le texte est mis à disposition sous licence CreativeCommons(BY-NC-SA). Plus d'info sur les conditions d'utilisation et sur l'auteur.
Références
Ces références et liens indiquent des documents consultés lors de la rédaction de cette page, ou qui peuvent apporter un complément d'information, mais les auteurs de ces sources ne peuvent être tenus responsables du contenu de cette page.
L'auteur de ce site est seul responsable de la manière dont sont présentés ici les différents concepts, et des libertés qui sont prises avec les ouvrages de référence. N'oubliez pas que vous devez croiser les informations de sources multiples afin de diminuer les risques d'erreurs.
