Administration

Vous êtes ici : Accueil » programmation » Les sessions php, comment ça marche ?

Les sessions php, comment ça marche ?

 

DESCRIPTION

Depuis PHP4, on entend beaucoup parler de sessions. De nombreuses personnes utilisant PHP ignorent encore ce que c'est et à quoi elles servent. D'autres, en revanche, ne savent pas les utiliser à bon escient. Ce tutoriel est une approche à la fois théorique et pratique des sessions. Elles seront présentées au moyen d'un exemple simple tout au long de ce billet. Il s'agit d'un espace de site sécurisé par authentification. 

UNE SESSION C'EST QUOI ?

Une session est un mécanisme technique permettant de sauvegarder temporairement sur le serveur des informations relatives à un internaute. Ce système a notamment été inventé pour palier au fait que le protocole HTTP agit en mode non connecté. A chaque ouverture de nouvelle session, l'internaute se voit attribuer un identifiant de session. Cet identifiant peut-être transmis soit en GET (PHPSESSID ajouté à la fin de l'url), POST ou Cookie (cookie sur poste client) selon la configuration du serveur. Les informations seront quant à elles transférées de page en page par le serveur et non par le client. Ainsi, la sécurité et l'intégrité des données s'en voient améliorées ainsi que leur disponibilité tout au long de la session. Une session peut contenir tout type de données : nombre,chaîne de caractères et même un tableau. 

Contrairement à une base de données ou un système de fichiers, la session conserve les informations pendant quelques minutes. Cette durée dépend de la configuration du serveur mais est généralement fixée à 24 minutes par défaut. Le serveur crée des fichiers stockés dans un répertoire temporaire. 

Parmi les utilisations les plus courantes des sessions, on trouve :



La théorie, c'est bien beau mais en pratique comment ça se passe ? Le chapitre suivant explique l'initialisation et la restauration d'une session ouverte. 

INITIALISATION (ET RESTAURATION) D'UNE SESSION

PHP introduit nativement une unique fonction permettant de démarrer ou de continuer une session. Il s'agit de session_start(). Cette fonction ne prend pas de paramètre et renvoie toujours true. Elle vérifie l'état de la session courante. Si elle est inexistante, alors le serveur la crée sinon elle la poursuit. 
 



Dans le cas d'une utilisation des sessions avec les cookies, la fonction session_start() doit obligatoirement être appelée avant tout envoi au navigateur sous peine de voir afficher les fameuses erreurs : 
"Cannot modify header information - headers already sent by ..." ou "Cannot send session cookie - headers already sent by ...". Cela est du au fait que PHP ne peut plus envoyer de cookie à l'utilisateur car il y a déjà eu une sortie au navigateur (echo(), print(), espace blanc, tag html...). 

Note : il faut appeler session_start() sur chaque page utilisant le système de session. 

LECTURE ET ÉCRITURE D'UNE SESSION

Le tableau $_SESSION

Lorsqu'une session est créée, elle est par défaut vide. Elle n'a donc aucun intérêt. Il faut donc lui attribuer des valeurs à sauvegarder temporairement. Pour cela, le langage PHP met en place le tableau superglobal $_SESSION. Le terme superglobal signifie que le tableau a une visibilité maximale dans les scripts. C'est à dire que l'on peut y faire référence de manière globale comme locale dans une fonction utilisateur sans avoir à le passer en paramètre. Le tableau $_SESSIONpeut-être indexé numériquement mais aussi associativement. En règle générale, on préfère la seconde afin de pouvoir donner des noms de variables de session clairs et porteurs de sens. 

L'écriture de session

Pour enregistrer une nouvelle variable de session, c'est tout simple. Il suffit juste d'ajouter un couple clé / valeur au tableau$_SESSION comme l'illustre l'exemple suivant. 
 



Le tableau $_SESSION, qui était vide jusqu'à présent, s'est agrandit dynamiquement et contient maintenant une valeur (Dupond) à la clé associative login. Une variable de session est alors créée. 

Note de rappel : à la place de la chaîne de caractères «Dupond»,nous aurions pu mettre un nombre, un booléen ou encore un tableau par exemple. 

Lecture d'une variable de session

Après l'écriture, c'est au tour de la lecture. Il n'y a rien de plus simple. Pour lire la valeur d'une variable de session, il faut tout simplement appeler le tableau de session avec la clé concernée. L'exemple ci-dessous illustre tout ça. 
 



Cette instruction aura pour effet d'afficher à l'écran la chaîne de caractères Dupond. 

DESTRUCTION D'UNE SESSION

Comme cela a été évoqué plus haut, le serveur détruit lui même la session au bout d'un certain temps si elle n'a pas été renouvelée. En revanche, il est possible de forcer sa destruction grâce à la fonction session_destroy(). Cela permet par exemple aux webmasters de proposer une page de déconnexion aux membres logués à leur espace personnel. Cependant, l'utilisation de session_destroy() seule n'est pas très "propre". Le code suivant présente une manière plus correcte de mettre fin à une session. 
 



Pour être convaincu de la destruction de la session, il suffit juste d'essayer d'afficher le contenu du tableau de session au moyen dela fonction print_r(). 

CONFIGURATION DES SESSIONS SUR LE SERVEUR

Une session ne reste ouverte que pendant un certain temps. Tout au plus, ce sera celle indiquée par la directive session.gc_maxlifetime du php.ini, entre deux clics consécutifs du client. Il est recommandé de ne pas augmenter la valeur inscrite par défaut. 
Mais pourquoi ? 
Tout simplement parce que si la session à une durée de vie plus importante, on s'expose à des risques de piratage par vol de session notamment (cf: voir les liens annexes en fin de billet pour plus d'informations). 

Pour les mêmes raisons de sécurité, il est conseillé de configurer le serveur de la façon suivante :

session.use_cookies 1 
session.use_only_cookies 1 
session.use_trans_sid 0



Cette configuration implique néanmoins une restriction totale pour les personnes n'acceptant pas les cookies. Ci-dessous, la signification dans le même ordre des 3 lignes de configuration précédentes.


APPROCHE PRATIQUE : CONCEVOIR UN ACCÈS RESTREINT

Présentation du cas pratique

Le présent chapitre introduit un cas concret d'utilisation des sessions. Il s'agit d'un accès restreint basique. Seul un utilisateur n'est autorisé à être logué mais cet exemple est à la base de la création d'un espace membre. C'est exactement la même chose. Pour réaliser tout ça, nous aurons besoin de 2 fichiers : le formulaire accompagné de son script de login, et la page protégée. 

Commençons par le formulaire de login. Le code étant commenté, il n'y aura pas plus d'explications. 

Formulaire d'authentification : authentification.php


http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">

Formulaire d'authentification

Identifiez-vous

Login :

Password :


Exemple de page protégée : admin.php


http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">

Administration



Petite explication : pour protéger chacune des pages de l'administration, il faut absolument ajouter en tête de fichier le premier script entièrement. Celui-ci redirige l'utilisateur s'il n'est pas convenablement logué. Sinon il affiche la page Web. 

LIENS ANNEXES

Voici une série de liens pour obtenir un complément d'information sur l'utilisation des sessions.


CONCLUSION

Le tutoriel s'achève sur ces derniers mots. Je vous conseille vivement de jeter un oeil à la documentation de PHP au sujet des sessions pour regarder du côté des autres fonctions existantes non évoquées ici. Ceci n'était que le fondement théorique des sessions basé sur un exemple concret et pratique. Vous serez à présent en mesure de construire vos propres applications web à partir de sessions.

 

Pour une lecture illimitée hors ligne, vous avez la possibilité de télécharger gratuitement cet article au format PDF :

Date de publication:   11/10/2014


Les images

Afin d'illustrer le contenu des pages Web, il est possible d'y insérer des images.
Les formats d'images reconnus par les navigateurs HTML sont :
-les images en .GIF (Graphic Interchange Format) format breveté donc payantes en principe.
-les images en .JPEG (Joint Photographic Experts Group),
-les images en .PNG (Portable Network Group) c'est un format de remplacement non breveté pour les fichiers .GIF.

Ces formats sont intéressants

Page précédent 61 62 63 64 65 66 67 68 69 Page suivante

Laisser un commentaire





dfnorsuz


zack77 Dimanche 23 Septembre 2018

Aucun commentaire pour le moment concernant le sujet « Les sessions php, comment ça marche ? »!