Dyskusja:PHP/Sesje
Dodaj tematchyba brakuje czegoś o wylogowaniu... no i kończeniu sesji (jak ją zakończyć samemu i (czy i) jak kończy się automatycznie...)
(nie żebym się czepiał :P tylko mówię czego mi tu brakuje, a jest znaczek, że jest skończone)
dalej sesje są niezabezpieczone!
[edytuj]session_regenerate_id nie kasuje starych danych tylko zmenia identyfikator, więc po przejeciu sesji jestesmy np. zalogowani tylko ze mamy inny identyfikator ponadto po co brac zmienna inicjuj skoro mamy juz jedna zmienna zmienna ip? bez sensu 17:04, 15 kwi 2008 (CEST)
- To zabezpiecza przed podeslaniem id sesji w linku, odczekaniem az user sie zaloguje i przejeciem sesji o znanym nam id. Wiec nic nie trzeba kasowac, bo regeneracja sprawia, ze haker nie zna juz id naszej sesji. Z drugiej strony jesli ktos zostawi nazwy zmiennych 'inicjuj' albo 'uzytkownik' to ktos zlosliwy, majac inne konto na tym samym serwerze (zmiana katalogu z sesjami za pomoca set_ini) moze te zmienne ustawic, i podeslac wtedy linka - choc wlasciwie nikomu nic nie musi podsylac bo po ustawieniu $_SESSION['uzytkownik']=1 jego sesja juz jest zalogowana.
Sesje + zmienne w cookies
[edytuj]Może dla bezpieczeństwa oprócz zmiennych w sesji użyć kilku zmiennych w cookies w celu sprawdzenia poprawności. Chodzi mi o to, że np. w sesji jest zmienna z ID użytkownika i w cookies normalnie poza sesją też. I na początku strony sprawdzić, czy one się zgadzają. No cóż... Pisze właśnie mojego CMSa i zobaczymy jak to wyjdzie