ugrás a tartalomhoz

session, SID

F · 2013. Nov. 28. (Cs), 22.38
Sziasztok!

Ha jól emlékszem, akkor a session folytatásakor a hívó lapról át kell adni a session id t ?SID=valami formában.

Ez igy van?

Üdv : laci
‹ Regex kérdés Lightbox 2 és lapozó ›
 
1

Sütiben vagy URL-ben

Pepita · 2013. Nov. 28. (Cs), 23.17
Nézd meg itt, a keresőbe annyit írtam - ki gondolná! -, hogy "Session".

A linkek közt máris ott a cím: "Passing the Session ID".
Valójában a cím megtalálásakor jöttem rá, hogy pontosan mit is akarsz kérdezni. Eltaláltam?

Szerk.: ma már annyi mindenre használunk sütit, hogy a meglétét kvázi kiköveteljük, tehát URL-ben átadás nemigazán játszik.
Az URL-t pedig sok más egyébre használjuk (főleg MVC fw-ökben).
Tehát inkább a sütis megközelítést válaszd.
2

Ma már nem szokás query

bamegakapa · 2013. Nov. 29. (P), 00.19
Ma már nem szokás query stringben utaztatni a session id-t, biztonsági szempontok miatt le is szokták tiltani.

Ahogy Pepita is mondja, cookie-ban utaztasd. De megfelelő beállítással ezt a PHP magától el kell, hogy végezze (alapbeállításokkal tudtommal el is végzi).
3

Ma már...

Pepita · 2013. Nov. 29. (P), 10.13
query stringben utaztatni ... biztonsági szempontok miatt le is szokták tiltani
Ha a mánál tartunk, azt hiszem nem jelent túl nagy nehézséget ugyanazt a SID-et betenni egy sütibe, amit URL-be... Tehát igaz amit írsz, de kb semmivel sem lesz biztonságosabb a sütitől. Érdemes kicsit titkosítani is rajta, és nem "PHPSESSID" nevet használni, stb.
Azt most hirtelen nem találtam, hogy magától öszeköti-e IP címmel is, de azt hiszem nem. Ha felhasználókezelésről van szó, akkor nagyon minimum, hogy az IP-t is minden kérésnél ellenőrizd: ha az előző kérés óta változott, akkor nem engeded ugyanazt a sessiont használni, hanem újat indítasz. Erről vannak itt cikkek, a kérdezőnek javaslom átolvasni.
(alapbeállításokkal tudtommal el is végzi).
Igen, ha alapbeállításokkal fut... Aminek érdemes utánanézni:
- register_globals: kikapcsolása javasolt biztonsági szempontokból;
- track_vars: tudtommal PHP 5x-ben már mindig bekapcsolt, közvetlenül használhatod a $_SESSION tömböt, nem kell a session_register(), session_is_registered() és session_unregister() függvényekkel bajlódni;
- a session_set_save_handler() fv-el adhatsz meg saját kezelő fv-t.

Ezeket mind érdemes a manualban alaposan átolvasni, a php.ini beállításokkal együtt, nehogy "meglepetés" érjen. Még ha valamilyen PHP fw-öt is használsz, annak a sessionkezelését is érdemes átbogarászni, nehogy valami lyuk legyen rajta.
4

Az avatatlanokat, ami php

bamegakapa · 2013. Nov. 29. (P), 11.01
Az avatatlanokat, ami php esetén nagy szám, védi pl a session fixation gyakoribb módjaival szemben.

Wikipedia session fixation
5

Jogos, csak én

Pepita · 2013. Nov. 29. (P), 17.26
már nagyon régen elfelejtettem azt is, hogy egyáltalán mehet _GET-ben... :)
Ezt, vagy hasonlót akkor olvastam, amikor először akartam session-t használni. Mivel a kérdező is helyből ott vinné, teljesen jogos, amit az avatatlanságról írsz. Ezzel együtt azért sütiben is jobb egy kicsit megvariálni a dolgokat, hogy ne legyen annyira egyértelmű emberi szemnek.