[php] Sessions systématiques ?

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par pianomambo, 5 Juillet 2010.

  1. pianomambo
    pianomambo Nouveau WRInaute
    Inscrit:
    9 Mai 2010
    Messages:
    8
    J'aime reçus:
    0
    Bonjour à tous,

    Voilà. J'ai créé un CMS wysiwyg : pour modifier une page, l'administrateur se connecte puis va directement sur la page à modifier. Celle-ci apparaît normalement, à l'exception d'une barre de menu horizontal qui permet de faire les changements nécessaires.

    Ainsi, pour une même URL, on peut aboutir sur deux modes :
    - normal
    - édition

    La question : Est-ce une bonne solution de créer systématiquement une session pour vérifier si l'on est en mode édition ?

    Ce qui me dérange, c'est le cloacking alors nécessaire pour éviter que les robots s'emmêlent les pinceaux. ça paraît pas très clean, d'autant plus que ça ouvre beaucoup de sessions inutiles.

    L'autre solution que je vois est de rajouter un paramètre en GET, du type "mode=edition". Mais alors, il me faut réécrire à la volée tous les liens internes, pour que l'administrateur, lorsqu'il passe d'une page à l'autre, ne sorte pas du mode édition. Cette solution permet de limiter l'utilisation des sessions à la simple vérification des droits d'accès au mode édition.

    Alors est-ce que je systématise mes sessions ?

    Merci de votre aide pour cette question qui doit être triviale, mais que je n'arrive pas à trancher seul. La recherche sur le forum des mots "session" et "moteur de recherche" n'aboutit pas : les mots sont trop courants.

    Bien à vous,

    PM
     
  2. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 579
    J'aime reçus:
    0
    Quel cloaking? Ton comportement par défaut doit convenir aux robots, non?

    Ceci dit, le plus simple est probablement de mettre un petit cookie qui indique si on est en mode admin, et de le tester, ça permet d'éviter de créer des sessions pour rien (si tu n'en as pas besoin par ailleurs). Evidemment le cookie doit être un minimum sécurisé.

    Jacques.
     
  3. nickargall
    nickargall WRInaute accro
    Inscrit:
    13 Juin 2005
    Messages:
    6 601
    J'aime reçus:
    4
    En gros, tu as un système de gestion de site ou le côté client & l'administration sont présents sur des mêmes URL, et tu utilises des sessions pour savoir si l'on est connecté en tant qu'administrateur pour, le cas échéant, afficher les fonctionnalités d'administration du contenu. C'est ça ?

    Dans ce cas de figure, bien sûr qu'il faut utiliser des sessions, et pas simplement un paramètre GET.
    imagine qu'une consultation de page avec ce paramètre GET provoque son indexation par Google ... tout le monde aurait accès à l'administration du site ...

    Après, si tu utilises des sessions, je ne vois pas en quoi tu dois utiliser du cloaking. L'utilisateur qui s'est identifié voit les outils d'admin, les autres (dont les robots) n'auront pas d'accès.
     
  4. nickargall
    nickargall WRInaute accro
    Inscrit:
    13 Juin 2005
    Messages:
    6 601
    J'aime reçus:
    4
    En gros, tu as un système de gestion de site ou le côté client & l'administration sont présents sur des mêmes URL, et tu utilises des sessions pour savoir si l'on est connecté en tant qu'administrateur pour, le cas échéant, afficher les fonctionnalités d'administration du contenu. C'est ça ?

    Dans ce cas de figure, bien sûr qu'il faut utiliser des sessions, et pas simplement un paramètre GET.
    imagine qu'une consultation de page avec ce paramètre GET provoque son indexation par Google ... tout le monde aurait accès à l'administration du site ...

    Après, si tu utilises des sessions, je ne vois pas en quoi tu dois utiliser du cloaking. L'utilisateur qui s'est identifié voit les outils d'admin, les autres (dont les robots) n'auront pas d'accès.
     
  5. nickargall
    nickargall WRInaute accro
    Inscrit:
    13 Juin 2005
    Messages:
    6 601
    J'aime reçus:
    4
    utilises des sessions pour savoir si l'on est connecté en tant qu'administrateur pour, le cas échéant, afficher les fonctionnalités d'administration du contenu. C'est ça ?

    Dans ce cas de figure, bien sûr qu'il faut utiliser des sessions, et pas simplement un paramètre GET.
    imagine qu'une consultation de page avec ce paramètre GET provoque son indexation par Google ... tout le monde aurait accès à l'administration du site ...

    Après, si tu utilises des sessions, je ne vois pas en quoi tu dois utiliser du cloaking. L'utilisateur qui s'est identifié voit les outils d'admin, les autres (dont les robots) n'auront pas d'accès.
     
  6. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 579
    J'aime reçus:
    0
    Quel cloaking? Ton comportement par défaut doit convenir aux robots, non?

    Ceci dit, le plus simple est probablement de mettre un petit cookie qui indique si on est en mode admin, et de le tester, ça permet d'éviter de créer des sessions pour rien (si tu n'en as pas besoin par ailleurs). Evidemment le cookie doit être un minimum sécurisé.

    Jacques.
     
  7. pianomambo
    pianomambo Nouveau WRInaute
    Inscrit:
    9 Mai 2010
    Messages:
    8
    J'aime reçus:
    0
    Merci pour vos réponses rapides.

    Concernant la sécurité, je suis bien entendu convaincu de la nécessité des sessions pour le mode edition.

    Mais j'avais cru comprendre que les sessions n'étaient pas bien appréciées des moteurs de recherche.
    exemple : https://www.webrankinfo.com/dossiers/conseils/bon-referencement-php
    (qui propose un petit cloacking)

    Pour résumer le problème, comme les moteurs de recherche ne peuvent recourir aux cookies, l'ID de session est passé par l'URL, compliquant de fait le référencement.

    Ainsi donc, le comportement par défaut qui consisterait à ouvrir systématiquement une session n'est-il pas problématique ?
    (sans compter les visiteurs qui n'acceptent pas les cookies, et dont les URL vont se compliquer également).

    Je crois que Jacques m'a donné la solution : vérifier d'abord un paramètre cookie puis, le cas échéant, ouvrir une session.
    La question devient alors : comment les moteurs de recherche se comportent-ils lorsque l'on teste chez eux la présence d'un cookie ? Autre problème : cookie + session, ça fait un peu usine à gaz, non ?

    Bien à vous,

    PM
     
  8. pianomambo
    pianomambo Nouveau WRInaute
    Inscrit:
    9 Mai 2010
    Messages:
    8
    J'aime reçus:
    0
    J'ai l'impression qu'un "use_only_cookies" résout peut-être mon problème.
    Ce serait sympa d'avoir une bonne grosse confirmation !
     
  9. nickargall
    nickargall WRInaute accro
    Inscrit:
    13 Juin 2005
    Messages:
    6 601
    J'aime reçus:
    4
    Code de démarrage de session PHP en interdisant le passage dans l'URL :
    Code:
    /*
    * Demarrage de session
    */
    ini_set("session.use_trans_sid","0");
    ini_set("url_rewriter.tags","");
    session_start();
    
     
  10. pianomambo
    pianomambo Nouveau WRInaute
    Inscrit:
    9 Mai 2010
    Messages:
    8
    J'aime reçus:
    0
    Merci !

    Je tente le coup en fin de semaine, ça devrait le faire.

    Bien à vous,

    PM
     
Chargement...
Similar Threads - [php] Sessions systématiques Forum Date
[PHP] Exemple de plusieurs sessions ? Développement d'un site Web ou d'une appli mobile 12 Janvier 2010
[PHP] gestion des sessions Développement d'un site Web ou d'une appli mobile 29 Août 2005
[PHP]Comment supprimer l'id de sessions sur IPB? Problèmes de référencement spécifiques à vos sites 30 Juin 2005
Astuce [PHP] Récolter ville, pays du visiteur Développement d'un site Web ou d'une appli mobile 9 Mars 2021
[PHP] Détecter le navigateur / bot en fonction du HTTP_USER_AGENT Développement d'un site Web ou d'une appli mobile 14 Septembre 2019
[PHP] Détecter le navigateur / bot en fonction du HTTP_USER_AGENT Développement d'un site Web ou d'une appli mobile 12 Janvier 2017
[PHP] Cookie vide dans une fonction, complet juste avant ou après Développement d'un site Web ou d'une appli mobile 25 Novembre 2014
[php] Cookie d'un domaine vers un sous-domaine Développement d'un site Web ou d'une appli mobile 29 Août 2014
[PHP]Cci mails Développement d'un site Web ou d'une appli mobile 18 Août 2014
[PHP] gethostbyname Développement d'un site Web ou d'une appli mobile 15 Février 2014
[PHP] file_get_contents retourne un "Connection timed out" Développement d'un site Web ou d'une appli mobile 14 Février 2014
[PHP] Regex Complexe Développement d'un site Web ou d'une appli mobile 29 Octobre 2013
[PHP] Formulaire dynamique Développement d'un site Web ou d'une appli mobile 2 Mai 2013
[php] error suite à code antiduplication Développement d'un site Web ou d'une appli mobile 5 Février 2013
[PHP] Condition et include Développement d'un site Web ou d'une appli mobile 31 Janvier 2013
[PHP] comprendre ce code pour pseudo-frame Développement d'un site Web ou d'une appli mobile 28 Décembre 2012
[PHP] Requête très lente Développement d'un site Web ou d'une appli mobile 22 Septembre 2012
[PHP] Question technique Regex Développement d'un site Web ou d'une appli mobile 28 Juillet 2012
[PHP] file_get_contents sur le serveur même... Développement d'un site Web ou d'une appli mobile 9 Juillet 2012
[PHP] FILTER_VALIDATE_IP et REMOTE_ADDR Développement d'un site Web ou d'une appli mobile 8 Juillet 2012