Bonjour,
 
On va prendre un exemple tout con
 
deux fichiers:
 
test1.php

 
et son copain test2.php

 
Et on obtient le résultat suivant quand on clique sur le lien de test1.php
 

 
Vu que je touche par à $_SESSION['user_id'], qqn pourrait m'expliquer pourquoi ma variable de session magique est modifée ?
 
Comment empêcher celà ?

Je ne suis pas un pro de PHP, mais es-tu sûr que dans la config de PHP, tu n'as pas register_globals a true. Si c'est le cas, ton $user_id référence directement $_SESSION['user_id'], d'où ton erreur.

verifie dans ton php.ini que "register_globals" est bien à Off
si c'est pas le cas, met le à off.
 

tiens c'est pas à jour la doc dans ce fichier

en fait tu peux simplement faire un phpinfo() et tu verras ton register_globals
(des fois que t'aurais pas le serveur sous la main)
 
 
(dans la section Configuration - PHP Core, la 2e si je ne m'abuse)
 
 
edit: comment jme fais griller, j'ai rien vu    
ça m'apprendra a vouloir détailler ma reponse

Je viens de modifier le fichier ini sur ma machine (easyphp)
et ca fonctionne correctement, merci
 
Seulement, je ne sais pas si chez mon futur hébergeur cette option sera à Off...
 
J'ai essayé avec un ini_set(), mais ca a pas l'air de marcher, je retente pour voir...

Voilà, ca marche nickel.  
Le register_globals est à On dans mon .ini
 
et le fichier test2.php a la tete suivante:

Et ca marche nickel
 
J'avais pas mis le ini_set() avant le session_start(), c'est pour ca que ca marchait pas.
Merci pour votre aide

Merci, grace à toi j'ai compris pourquoi ca faisait ca

 
spark >> depuis quelques versions de php, cette option est à off par defaut. tu peux de toutes façons faire comme tu l'as fait, pour etre sur

Oki, merci
C'est quand même cool d'avoir de l'aide à presque 5h du mat

oui je m'en étonne moi aussi  

Donc avec les variables globales à ON ca fait un sacré trou de secu, imaginons qu'une fois une personne loguée sur le site, on enregistre une variable de sessin $login, quelqu'un de malintentioné pourrait tres bien taper page-reservee.php?login=UnNomDeMembreConnu et ainsi acceder aux données reservées ??  
 
Parce que chez mon hebergeur les variables globales sont encore à On à cause de chieurs qui utilisent des scripts tout fait qui reclament le On  
 
Le iniset on m'en a parlé mais je ne sais plus la syntaxe exacte pour mettre les variables globales à off (possible uniquement si le safe_mode est sur Off )

C'est à toi de bien gérer dans ton script en n'utilisant pas de variable nommée $login et en accédant toujours à l'information au travers de $_SESSION['login']. On peut même imaginer que si isset( $_GET['login'] ); alors tu affiches un message méchant...
 

Tu as un exemple juste au dessus. J'ose imaginer qu'il est correct.

 
J'utilise toujours les variables $_SESSION['login'], mais un simple blabla.php?login=CeQuOnVeut permet de changer la valeur de $_get mais pas de $_session (var globales à off ou on), j'avais pas vu dans le bout de script qu'il avait mis