Bonjour,
Pour les besoins d'un site, j'ai mis en place une session PHP de la façon suivante :
a) fichier functions.php contenant en tout début un appel à session_start
b) sur chaque page (script PHP) la première instruction est un require_once sur le fichier précédent
c) chaque page fait appel à une fonction renderDocument stockée dans functions.php, prenant en charge la sérialisation HTML / CSS
d) deux pages PHP connexion.php et deconnexion.php (leurs noms parlent d'eux-mêmes)
Problème constaté :
a) aucun cookie de session n'est enregistré (vérifié sur outils navigateurs)
b) chaque appel de page (chargement initial ou rafraîchissement) regénére une nouvelle session (ID session affiché différent)
Pour avancer, j'ai créé un petit projet de test plus simple contenant :
a) un fichier test-session-commons.php contenant juste l'appel à session_start
b) une page test-session-1.php ayant un require_once sur le fichier commun, affichant les infos session (ex. ID), stockant dans la session un timestamp et affichant un lien vers la seconde page
c) une page test-session-2.php ayant un require_once sur le fichier commun, affichant les infos session (ex. ID) + la valeur du champ timestamp récupéré dans $_SESSION et affichant un lien de retour vers la première page
Tout fonctionne impeccablement :
- l'identifiant de session est identique sur toutes les pages
- le cookie de session est correctement créé
- le timestamp actualisé sur la page 1 est correctement récupéré sur la page 2
Bref, à configuration identique, l'une marche l'autre pas... Ayant quelques heures de vol en informatique, je me doute bien qu'il doit y avoir un tout petit truc de différent, mais après avoir tourné longuement sur les scripts, rien ne me saute aux yeux.
J'ai pris bien soin :
- de n'avoir aucun caractère avant la séquence <?php débutant les scripts
- de tester avec ou sans la séquence ?> en fin de script functions.php
- d'appeler session_start une seule fois en début de functions.php, qui lui même est systématiquement la première instruction de chaque script page
- de placer la session avant toute sérialisation d'une balise HTML
- de tester avec et sans CSP (au cas où CSP aurait bloqué quoi que ce soit)
- de tester sur 4 navigateurs différents (Edge,Firefox, Opera et Iridium)
- de tester avec et sans session_name précédant session_start
- de tester avec et sans options passées en paramètre à session_start
- de tester sur le même serveur Apache HTTP, donc configuration strictement identique pour le site et la suite de test
Bref, le constat est toujours le même :
- la suite de test fonctionne impec
- le code normal duplique les sessions (ID différents + perte données stockées)
La seule chose que j'ai constatée est que la page connexion.php s'appelant elle-même (attribut @action du formulaire), la session est bien reconnue. Par contre, dès que je change de page pour aller, par exemple, à la page projets.php qui liste les projets utilisateurs mais requiert qu'il soit connecté, le message utilisateur non connecté est affiché.
Pas vraiment facile de mettre en place un code sur un outil de test PHP en ligne car la suite de test toute simple et suivant la même architecture du site, fonctionne sans accroc. Ce ne serait donc pas significatif.
Il est suprenant que sans changer de configuration, sur les 4 navigateurs, le cookie de session est systématiquement créé par la suite de test, mais ne l'est pas par le site, alors que l'architecture est la même entre les scripts PHP :
- session_start dans functions.php
- require_once de functions.php en début de chaque page
- code HTML sérialisé après appel de session_start
Ce message est un peu long, mais si quelqu'un a une piste je suis preneur.
J'ai bien évidemment largement navigué sur le web avant de poster ledit message pour creuser l'aspect session en PHP (qui n'est pas mon langage de base et que je déteste de plus en plus...) mais les tutoriels sont tous calqués sur la même architecture et, a priori, je suis le même schéma.
Merci d'avance pour ceux qui pourront éclairer un tant soit peu ma lanterne avec les subtilités des sessions PHP que vous auriez pu rencontrer au cours de vos pérégrinations.
Modifié par sepecat (06 May 2021 - 18:03)
Pour les besoins d'un site, j'ai mis en place une session PHP de la façon suivante :
a) fichier functions.php contenant en tout début un appel à session_start
b) sur chaque page (script PHP) la première instruction est un require_once sur le fichier précédent
c) chaque page fait appel à une fonction renderDocument stockée dans functions.php, prenant en charge la sérialisation HTML / CSS
d) deux pages PHP connexion.php et deconnexion.php (leurs noms parlent d'eux-mêmes)
Problème constaté :
a) aucun cookie de session n'est enregistré (vérifié sur outils navigateurs)
b) chaque appel de page (chargement initial ou rafraîchissement) regénére une nouvelle session (ID session affiché différent)
Pour avancer, j'ai créé un petit projet de test plus simple contenant :
a) un fichier test-session-commons.php contenant juste l'appel à session_start
b) une page test-session-1.php ayant un require_once sur le fichier commun, affichant les infos session (ex. ID), stockant dans la session un timestamp et affichant un lien vers la seconde page
c) une page test-session-2.php ayant un require_once sur le fichier commun, affichant les infos session (ex. ID) + la valeur du champ timestamp récupéré dans $_SESSION et affichant un lien de retour vers la première page
Tout fonctionne impeccablement :
- l'identifiant de session est identique sur toutes les pages
- le cookie de session est correctement créé
- le timestamp actualisé sur la page 1 est correctement récupéré sur la page 2
Bref, à configuration identique, l'une marche l'autre pas... Ayant quelques heures de vol en informatique, je me doute bien qu'il doit y avoir un tout petit truc de différent, mais après avoir tourné longuement sur les scripts, rien ne me saute aux yeux.
J'ai pris bien soin :
- de n'avoir aucun caractère avant la séquence <?php débutant les scripts
- de tester avec ou sans la séquence ?> en fin de script functions.php
- d'appeler session_start une seule fois en début de functions.php, qui lui même est systématiquement la première instruction de chaque script page
- de placer la session avant toute sérialisation d'une balise HTML
- de tester avec et sans CSP (au cas où CSP aurait bloqué quoi que ce soit)
- de tester sur 4 navigateurs différents (Edge,Firefox, Opera et Iridium)
- de tester avec et sans session_name précédant session_start
- de tester avec et sans options passées en paramètre à session_start
- de tester sur le même serveur Apache HTTP, donc configuration strictement identique pour le site et la suite de test
Bref, le constat est toujours le même :
- la suite de test fonctionne impec
- le code normal duplique les sessions (ID différents + perte données stockées)
La seule chose que j'ai constatée est que la page connexion.php s'appelant elle-même (attribut @action du formulaire), la session est bien reconnue. Par contre, dès que je change de page pour aller, par exemple, à la page projets.php qui liste les projets utilisateurs mais requiert qu'il soit connecté, le message utilisateur non connecté est affiché.
Pas vraiment facile de mettre en place un code sur un outil de test PHP en ligne car la suite de test toute simple et suivant la même architecture du site, fonctionne sans accroc. Ce ne serait donc pas significatif.
Il est suprenant que sans changer de configuration, sur les 4 navigateurs, le cookie de session est systématiquement créé par la suite de test, mais ne l'est pas par le site, alors que l'architecture est la même entre les scripts PHP :
- session_start dans functions.php
- require_once de functions.php en début de chaque page
- code HTML sérialisé après appel de session_start
Ce message est un peu long, mais si quelqu'un a une piste je suis preneur.
J'ai bien évidemment largement navigué sur le web avant de poster ledit message pour creuser l'aspect session en PHP (qui n'est pas mon langage de base et que je déteste de plus en plus...) mais les tutoriels sont tous calqués sur la même architecture et, a priori, je suis le même schéma.
Merci d'avance pour ceux qui pourront éclairer un tant soit peu ma lanterne avec les subtilités des sessions PHP que vous auriez pu rencontrer au cours de vos pérégrinations.
Modifié par sepecat (06 May 2021 - 18:03)
