Bonjour
Vous savez qu'une variable de session, transmise donc automatiquement entre les scripts d'un site lors de la navigation d'un visiteur ( pour peu que la session soit activée à chaque script ), est lisible dans la super-globale $_SESSION['var'] , dans le cas de la variable var.
Ces variables de session, sont contenues dans le serveur, et le seul problème que je me pose, est de savoir si c'est possible éventuellement à un visiteur, de positionner de l'extérieur une variable de session, qui n'aurait pas été affectée en amont par un autre script. du même site.
Ceci, dans un contexte ou le Safe Mode est à Off. Le Register Globals est à On, mais la variable en question, est bien lue dans la super-globale si elle existe, sinon la variable est unsettée. Donc le Register Globals n'influe pas.
Donc, est-il vrai qu'il existe un moyen au monde, à un visiteur accédant avec n'importe quel navigateur à une url donnée, de faire en sorte de présenter au script de cette url, cette variable de session positionnée avec une valeur, alors qu'aucun script du site de cette url, n'a positionné avant lui-même cette variable de session ?
Tout ceci, en supposant évidemment, que le nom et la valeur de cette variable de session, nécessaire à l'authentification, sont connus du visiteur.
Merci beaucoup à vous pour vos réponses.
Bien à vous.
Amicalement.
Jean-François Ortolo
Vous savez qu'une variable de session, transmise donc automatiquement entre les scripts d'un site lors de la navigation d'un visiteur ( pour peu que la session soit activée à chaque script ), est lisible dans la super-globale $_SESSION['var'] , dans le cas de la variable var.
Ces variables de session, sont contenues dans le serveur, et le seul problème que je me pose, est de savoir si c'est possible éventuellement à un visiteur, de positionner de l'extérieur une variable de session, qui n'aurait pas été affectée en amont par un autre script. du même site.
Ceci, dans un contexte ou le Safe Mode est à Off. Le Register Globals est à On, mais la variable en question, est bien lue dans la super-globale si elle existe, sinon la variable est unsettée. Donc le Register Globals n'influe pas.
Donc, est-il vrai qu'il existe un moyen au monde, à un visiteur accédant avec n'importe quel navigateur à une url donnée, de faire en sorte de présenter au script de cette url, cette variable de session positionnée avec une valeur, alors qu'aucun script du site de cette url, n'a positionné avant lui-même cette variable de session ?
Tout ceci, en supposant évidemment, que le nom et la valeur de cette variable de session, nécessaire à l'authentification, sont connus du visiteur.
Merci beaucoup à vous pour vos réponses.
Bien à vous.
Amicalement.
Jean-François Ortolo