Français
Français
La gestion des séances utilisateur dans PHP est l'une des principales choses qui créent des applications Web dynamiques. Par défaut, les sessions PHP utilisent des cookies pour transmettre des ID de session entre les clients et les serveurs. Afin d'améliorer la sécurité, de contrôler le comportement de la session ou de se conformer aux exigences de compatibilité du navigateur, nous pouvons utiliser la fonction Session_Set_COOKIE_PARAMS () pour personnaliser les paramètres du cookie de session. Cet article présentera en détail les méthodes d'utilisation et les meilleures pratiques de cette fonction.
Session_set_cookie_params () est utilisé pour définir les paramètres pertinents du cookie de session avant d'appeler session_start () . Ces paramètres incluent:
Vie à vie : le temps de validité du cookie en quelques secondes. Réglé sur 0 signifie que le navigateur est désactivé lorsque le navigateur est fermé.
Chemin : le chemin valide où se trouve le cookie, la valeur par défaut est / .
Domaine : le nom de domaine valide où réside le cookie.
Sécurisé : booléen, indiquant si le cookie est transmis uniquement sur HTTPS.
httponly : booléen, indiquant s'il faut régler le cookie sur httponly, empêchant l'accès via JavaScript.
À partir de PHP 7.3.0, les paramètres ci-dessus peuvent également être définis en passant un tableau associatif, qui est plus flexible et lisible.
Voici un exemple de définition des paramètres de cookie en utilisant la manière traditionnelle:
session_set_cookie_params (3600, "/", "m66.net", true, true); session_start (); Dans le code ci-dessus, le cookie devrait expirer après 1 heure et n'est valable que sur le nom de domaine M66.net et sa sous-chemin, nécessitant un accès via HTTPS, et non accessible via JavaScript (sécurité améliorée).
Pour une structure de code plus claire, il est recommandé d'utiliser un tableau pour définir les paramètres de cookie:
session_set_cookie_params (['lifetime' => 3600, 'path' => '/', 'domain' => 'm66.net', 'sécurisé' => true, 'httponly' => true, 'samesite' => 'strict']); session_start (); Remarque: Le paramètre Samesite est d'empêcher les attaques CSRF. Peut être défini sur «lax» , «strict» ou «aucun» . Lorsque vous utilisez «aucun» , sécurisé doit être vrai .
Activer HTTPS : il est toujours recommandé d'utiliser HTTPS et de définir sécurisé sur true pour éviter que l'ID de session soit intercepté par des attaques d'homme dans le milieu.
Httponly Protection XSS : L'activation de Httponly peut empêcher JavaScript d'accéder aux cookies et de réduire le risque d'attaques de scripts inter-sites.
Réglage raisonnable de la période de validité : il n'est pas recommandé de définir un cycle de vie des cookies excessivement long, et il est généralement plus raisonnable de le contrôler en quelques heures.
Définissez le domaine et le chemin : assurez-vous que le domaine et le chemin sont définis raisonnablement et évitez les cookies qui fuient vers des sous-domaines ou des chemins non liés.
Ordre incorrect : session_set_cookie_params () doit être appelé avant d'appeler session_start () , sinon le paramètre n'est pas valide.
Https non activé : Lors de l'utilisation de sécurisé => true , il doit être accessible via HTTPS, sinon le navigateur n'enverra pas le cookie.
Problèmes de compatibilité du navigateur : Le paramètre Samesite dans les navigateurs plus anciens peut ne pas être pris en charge. Il est recommandé de décider de l'utiliser en fonction du groupe d'utilisateurs cible.
Étiquettes associées:
cookie
