Re: [LA-discussions] gestion de session php

[ Thread Index | Date Index | More linuxarverne.org/discussions Archives ]


----- Original Message -----

From: Matthieu

Subject: Re: [LA-discussions] gestion de session php

>Heuuuu avec 8 utilisateurs et 3 ou 4 paramètres chacun ?...
 
Ouais, disons que si tu as besoin de faire évoluer le nombre d'utilisateurs ou le nombre de paramètres, ça sera plus simple avec une BDD.

 

Bonjour

 

Je suis votre discussion de loin, donc peut-être que je n'ai pas vu passer l'info, cependant il me semble que la question de la persistence ds données n'a pas été abordée, et que la réponse sus-citée me paraît plus qu'obligatoire puisque le stockage en session n'est pas éternel. En dehors du fait que le cookie de session peut être effacé manuellement par l'utilisateur et qu'il peut expirer, il me semble qu'il existe un paramètre côté serveur qui fait périmer les données de session au bout d'un certain temps.

Stocker des données en session ne remplacera jamais l'utilisation d'un stockage externe (ni mémoire, ni fichier temporaire). Par ailleurs, les sessions étant "étanches" un administrateur ne pourra pas accéder aux données de session de ses utilisateurs (pour le cas où le site implémente une gestion d'utilisateurs avec des actions possibles par un administrateur).

Bref.

Tout ça pour dire que gérer l'identification ou l'authentification par des données en session c'est très bien, mais pour retrouver les données saisies une fois la session expirée, ce n'est pas l'idéal...

 

A quel endroit sont stockées les données permettant de vérifier que ce qui a été saisi par l'utilisateur (son login + son password) sont bel et bien existants et lui permettent d'accéder à la ressource demandée ?

 

Question subsidiaire : pourquoi trimballer en session son login et son password une fois ceux-ci vérifiés et validés ? Chaque ressource est susceptible de refaire cette vérification / validation pour déterminer les droits correspondants ? Ca signifie que chaque script du site doit contenir du code qui vérifie si le couple user/pass fourni est présent dans une liste de user/pass autorisés ?

 

 =^.^=

 

 

 

 

 

 

 

 



Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/