Sécuriser ses cookies
Une erreur comise assez frequemment dans l'utilisation des cookies est de valider une session par une simple variable écrite en clair.
Par exemple écrire :
setcookie('identification','true');
conduit a un sérieux problème de sécurité , cette variable étant activée n'importe qui pourra usurper l'identité d'un autre utilisateur en remplacant ses données personnelles par celle de la victime (mail, login ou autre variable identifiant l'utilisateur sur le site).
Il faut preferer une variable cryptée choisie en fonction du mot de passe afin que cette variable ne puisse pas être retrouvée.
Par exemple :
setcookie('identification',md5($password));
utilisera le hash md5 du mot de passe , ainsi le mot de passe ne sera pas affiché en clair et personne ne pourra retrouver cette valeur sur une autre machine.
Source : http://www.informit.com/guides/content.asp?g=security&seqNum=232&rl=1
