Fonctionnement du gestionnaire de sessions

table Sessvars, puis l’utiliser le moment voulu pour rechercher des valeurs supplémentaires, notamment la dernière page visitée, la dernière référence produit ajoutée au panier ou n’importe quel nombre d’autres données utilisateur dont vous souhaitez la persistance tout au long de la session. Pour renforcer la sécurité, le gestionnaire de sessions génère un nouveau GUID à chaque chargement d’une nouvelle page.

Le remplacement fréquent des valeurs de GUID dans la table Sessvars permet de maintenir les pirates dans l’expectative. Un pirate devra surveiller activement votre site en temps réel et, en quelque sorte, deviner à la fois le schéma de la base de données ainsi que le mode d’utilisation du GUID sur celle-ci. Le temps qu’il y parvienne, le GUID aura déjà été remplacé par la valeur suivante ou aura expiré avec la session, ce qui le rendra inutile pour le pirate potentiel.

Outre le fait d’employer le gestionnaire de sessions pour la gestion des sessions Web, vous pouvez l’utiliser pour affecter des pseudo-valeurs à des éléments tels que des références produits. Ainsi, même si les valeurs sont passées en clair, elles n’ont pas de signification réelle pour les utilisateurs. Cette approche requiert l’utilisation et le remplacement fréquent de GUID non séquentiels, ce que nous verrons un peu plus loin.