 |
|
Модераторы: skyboy, MoLeX, Aliance, ksnk |
 
|
|
От куда берётся идентификатор сессии? Возникновение id сессии и его запись 
| woin |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 18 Регистрация: 15.4.2007 Репутация: нет Всего: нет |
Понадобилось сделать авторизацию и возник вопрос о сессиях.
Тут на форуме хорошо описано как проверять и защищать авторизацию. Про инъекции, важность проверки всего и вся, но наверное вопрос о том как создаётся и записывается в куки id сессии как-то опущен, наверное за своей элементарностью. Если это всё как-то делается автоматом, то как сделать так чтобы остальные данные сесси (id пользователя например) не сохраняли на его компе. В скрипте будет использоваться для сохранения данных MySQL.  |
|||
|
||||
Загрузка ...
| Testing001 |
|
|||
|
Шустрый  Профиль Группа: Участник Сообщений: 88 Регистрация: 27.3.2007 Репутация: -1 Всего: нет |
Какой автомат, там в пхп коде это делаешь, сейчас опишу
|
|||
|
||||
| skyboy |
|
||||
|
неОпытный Профиль Группа: Модератор Сообщений: 9820 Регистрация: 18.5.2006 Где: Днепропетровск Репутация: 75 Всего: 260 |
идентификатор сессии генерируется при помощи генератора псевдослучайных чисел, не гарантирует уникальность в пределах, скажем, суток, но вероятность коллизии идентификаторов столь мала, что её можно не учитывать. А никакие данные кроме номера сессии "автоматически"(строго говоря, надо всё же вызывать session_start() вручную) в куки не записывается. Всё то, что ты напихаешь в массив $_SESSION хранится на сервере, потому не может быть получено иначе как
так что если ты не делаешь явно
то данные про ИД пользователя локально никак не сохранятся. |
||||
|
|||||
| Testing001 |
|
|||
|
Шустрый Профиль Группа: Участник Сообщений: 88 Регистрация: 27.3.2007 Репутация: -1 Всего: нет |
мдя... опоздал
skyboy Только один вопрос: Посему это нельзя ИД в куки прописать? a session.use_only_cookie = 1 Правда, если юзер запртил прием/передачу То это уже на фиг не нужно Тогда уже приходится к GET и POST А там уже инъекции |
|||
|
||||
| woin |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 18 Регистрация: 15.4.2007 Репутация: нет Всего: нет |
skyboy, спасибо.
Немного дополню - получить ИД сессии можно с помощью: session_id()
Вообще-то, skyboy написал, что можно записать, только это вручную делается. ;) |
|||
|
||||
| Testing001 |
|
|||
|
Шустрый Профиль Группа: Участник Сообщений: 88 Регистрация: 27.3.2007 Репутация: -1 Всего: нет |
тогда извиняюсь
|
|||
|
||||
| skyboy |
|
||||
|
неОпытный Профиль Группа: Модератор Сообщений: 9820 Регистрация: 18.5.2006 Где: Днепропетровск Репутация: 75 Всего: 260 |
на всякий случай уточню: я понимаю под "ИД пользователя" и "идентификатором сессии" разные вещи.
Добавлено через 4 минуты и 3 секунды
"Инъекции - они в головах"(немного перефразировано) Если экранировать, где надо; обрезать - где надо и вести контроль, никаких инъекций быть не может. А если ставить use_only_coockie - то и правда, людям без/с отключенными куками сложновато будет.
вопрос: а зачем? разве что - чтоб потом авторизация не нужна была, но ведь ты так ратовал за безопасность... Или чтоб во время сеанса хранить какие-то межскриптовые переменные? Так есть массив $_SESSION - в пределах одной сессии(сеанса работы) там можно хранить что угодно - от "примитивов" до объектов. В привязке именно к конкретному пользователю. |
||||
|
|||||
|
|
| Правила форума "PHP" | |
|
|
Новичкам:
Важно:
Внимание:
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers. |
| 0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
| 0 Пользователей: | |
| « Предыдущая тема | PHP: Общие вопросы | Следующая тема » |
[ Время генерации скрипта: 0.0981 ] [ Использовано запросов: 22 ] [ GZIP включён ]
Реклама на сайте Информационное спонсорство
|
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |