Je fixe manuellement un seul cookie sur mon site de réseau social, mais je compte fortement sur les sessions PHP. Je me demande si des sessions fixent des cookies dans les coulisses?
Je lisais simplement sur httponly-biscuits et j'essaie juste de comprendre si je peux les utiliser.
4 Réponses :
sessions PHP utilisez HTTP pour obtenir et définir l'ID de session et le système de fichiers pour stocker les sessions - aucun cookies n'est utilisé à tout moment, à moins que vous ne les créiez réellement à l'aide de Setcookie ();
Jamie
Tort. Vous pouvez configurer PHP pour se comporter de cette façon, cependant.
Oui. Les sessions PHP s'appuient sur un cookie contenant une clé de session. Vos données de session sont stockées uniquement sur votre serveur, mais une pièce d'identité unique est attribuée à chaque session et que l'ID est enregistré dans un cookie.
Quelle relation voyez-vous entre un cookie de session et un cookie traditionnel comme Aussi: garder à l'esprit que httponly ?
httponly n'est pas pris en charge sur tous les navigateurs.
Les sessions PHP peuvent utiliser des cookies en fonction de la façon dont vous les configurez. Regardez ces paramètres:
session.use_cookies (Boolean): Spécifie si le module utilisera des cookies pour stocker l'ID de session du côté du client. Par défaut à 1 (activé).
session.Utilise_only_cookies (Boolean): Spécifie si le module n'utilisera que des cookies pour stocker l'ID de session du côté du client. L'activation de ce paramètre empêche les attaques impliquées de passer des identifiants de session dans les URL. Ce paramètre a été ajouté à PHP 4.3.0. Par défaut sur 1 (activé) depuis PHP 5.3.0.
Si vous désactivez les cookies de session, un paramètre d'obtention est utilisé à la place.
J'ai un peu pensé que c'est ce qui s'est passé mais maintenant je sais, merci. Mon système utilise la méthode de la cookie pour stocker un identifiant de session. Est-ce que ce cookie est sécurisé?
Qu'entendez-vous par "Secure"? La méthode de la cookie est plus sécurisée que de passer des identifiants de session dans les URL. Cependant, cela ne signifie pas qu'ils sont 100% sécurisés. Par exemple, si votre site Web est vulnérable à XSS, il peut être possible que les attaquants puissent voler des cookies de session.
Cela fait, il y a un cookie nommé Phpssid qui stocke l'ID de session.
Pour les cookies httponly, voir http: //ilia.ws/archives/121-httponly-cookie-flag-support-in-php-5.2.html
Httponly est supporté car c'est-à-dire 6,0 SP1 et Firefox 2.0