Pages : 1
#1 Le 16/11/2012, à 11:28
- Phoenamandre
Java et session PHP
Bonjour !
Voilà, j'essaye de faire communiquer une application java avec une autre en php. Tout va bien là-dessus. Le problème vient des variables de session.
Dans l'application java, je stocke l'id de session et je la passe en get à php à chaque requête.
Côté PHP, je fais simplement ça :
session_id($_GET['sid']);
session_start();
Si entre deux requête il y a plus de 5 secondes, session_start(); ne retrouvera pas les anciennes variables de session. Je ne comprends pas pourquoi.
Hors ligne
#2 Le 16/11/2012, à 21:08
- Haleth
Re : Java et session PHP
Algorithmiquement, ce genre de fonctionnement est une catastrophe
Niveau sécurité, c'est tout aussi pourri.
Qui m'empeche d'utiliser une autre session, et donc d'avoir accès au compte d'un autre user ? Rien.
Je te conseille de trouver une autre solution.
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#3 Le 17/11/2012, à 11:25
- Phoenamandre
Re : Java et session PHP
Je vérifie tout de même l'IP qui est stockée dans une variable de session, mais là n'est pas le problème ! Php ne conserve pas la session, pour une raison qui m'échappe ! La seule chose que j'ai trouvé pour résoudre le problème, c'est d'envoyer le nom d'utilisateur et mot de passe à chaque fois, ce qui est terriblement laid.
Hors ligne
#4 Le 17/11/2012, à 12:41
- Haleth
Re : Java et session PHP
T'as regardé du coté des logs, et de la durée de vie des sessions PHP ?
Tu vérifies l'IP, c'est cool. Tu vas à la fac, y'a 500 personnes qui utilisent ton service, ils ont TOUS la même IP. Ca t'avance à quoi ?
L'IP est une méthode d'authentification aussi valable que la photo sur ta carte d'identité.
La seule chose que j'ai trouvé pour résoudre le problème, c'est d'envoyer le nom d'utilisateur et mot de passe à chaque fois, ce qui est terriblement laid.
Honnetement, c'est bien mieux que de switch les sessions
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#5 Le 17/11/2012, à 15:08
- Phoenamandre
Re : Java et session PHP
Suffit d'être sur le même réseau pour savoir ce qui a été envoyé, en prime si le mot de passe n'est pas crypté on peut le choper... Je ne trouve pas que ce soit mieux !
Je pense qu'on a moins de chance de tomber sur le bon numéro de session que de lire le mot de passe en get. Après je suppose que le numéro de session est lui aussi envoyé, mais bon ma naïveté me pousse à pense qu'il est correctement crypté.
Fort heureusement, ce que je développe ne sera jamais utilisé. C'est juste un projet scolaire, et comme tout le reste, ça finit dans /dev/null à chaque fois.
La durée de vie de mes sessions est de 180 (minutes je présume)
Hors ligne
Pages : 1