Gestion des sessions avec Code Igniter
Par jp.fox le dimanche 19 août 2007, 10:44
PHP
:: 
Lien permanent
Je développe actuellement une application Web avec Code Igniter, un framework PHP léger. Afin d'accéder à la partie backoffice (administration) de l'application, j'utilise un accès par code utilisateur/mot de passe puis un système de sessions. Code Igniter propose un mécanisme simple pour gérer les sessions. Mais en regardant de plus près son fonctionnement, malgré une option permettant de stocker les sessions dans une base de données, on se rend compte que les informations sont systématiquement transférées sous forme de cookies sur le navigateur de l'utilisateur %-)
Il s'agit d'un gros problème de sécurité. Les sessions natives PHP stockent les données sur le serveur et non pas sur le client, ceci permet la gestion d'informations sensibles de manière beaucoup plus sécurisée.
Si vous avez déjà une application utilisant Code Igniter et ses sessions, je vous recommande vivement d'utiliser la bibliothèque d'Oscar Bajner, OB Session, qui corrige cette faille tout en gardant les API, bien documentés, de Code Igniter.
J'utilise aussi code igniter et il existe un patch sur leur wiki permettant d'utiliser les sessions native de php.
je veux gérer une app avec multi session(le cas des plusieurs profils ) chacun a ses privilèges . je n'arrive pas a utlise session.class de CI dans ce cas ...help please
Il faut juste regarder ce thread et la réponse de noxie
http://codeigniter.com/forums/viewt...
gabizouari
tu peux expliquer ton pb ?
c'est un peu vague
@toto : je ne vois pas en quoi la réponse de noxie est intéressante. Je trouve idiot de crypter des cookies afin de sécuriser le stockage de de données dans le navigateur du client alors qu'il est bien plus simple et efficace de les stocker sur le serveur.
Les sessions de CI sont vraiment un non-sens dans leur architecture.
A la limite, ce système peut être utiliser pour gérer les cookies mais son nom est alors mal choisi.