Session adatbázissal
Helló!
Az oldalamhoz szeretnék egy beléptető, regisztráló rendszert nem mással mint session-nel. A gond ott kezdődik, hogy nem cookieval vagy fájllal, hanem adatbázissal. Addig még meg tudom csinálni, hogy a sessionid-t meg az egyéb adatokat eltárolom egy táblában, de hogyan fogom 'kiszedni', hogy minden oldal megkapja a sessionid-t? Van erre valami gyári függvény, vagy nekem kell megírni?
■ Az oldalamhoz szeretnék egy beléptető, regisztráló rendszert nem mással mint session-nel. A gond ott kezdődik, hogy nem cookieval vagy fájllal, hanem adatbázissal. Addig még meg tudom csinálni, hogy a sessionid-t meg az egyéb adatokat eltárolom egy táblában, de hogyan fogom 'kiszedni', hogy minden oldal megkapja a sessionid-t? Van erre valami gyári függvény, vagy nekem kell megírni?
Nem kell megírni
Ha a sessiont adatbázisban akarod tárolni, arra is van megoldás:
http://hu.php.net/session
Ajánlom figyelmedbe a session_set_save_handler illetve a session_id függvényt.
--------
Poetro
A manualt már nézegettem
Ha valaki tud ilyennel szolgálni, akkor előre is köszönöm.
nincs helyette más
Akkor valamit nem értek...
Egyébként az url-es megoldás jó lenne, csak valahogyan azonosítani kellene a felhasználót. IP-re gondoltam először, csak hát mi van ha router mögül netezik (pl. iskola). MAC cím jó lenne, csak azt meg állítólag nem tudom kideríteni PHP-val.
Most akkor mi lenne a jó megoldás?
nem azt váltja ki az adatbázis
Értem. De ha a cookie sem
Szerinted mi lenne az ideális (viszonylag biztonságos) megoldás?
A sessionid-t nem tudom elrejteni az url-ben?
Használd default
üdv.: Zsolt
cookie használhatóságának ellenőrzése
nincs
nincs más
igen, sütik nélkül a
Ne parázz már a session miatt, inkább használd!! :)
ferenc voltam
OK, nem parázok! :)
fogalmam sincs, de
ferenc voltam
session hijacking
Felhő
Hogy lopod el a szessönt tőlem?
Főleg SSL oldal esetében. Mire visszafejted az 1024bitesen kódolt szessönídét, már nem él a szessön...
--
Szeretettel: Károly György Tamás
kgyt(a)kgyt.hu - http://kgyt.hu
olvasni tessék kérem
Na jó...
Használjon mindenki normális böngészőt, vagy érezze meg a zsebén, hogy nem éri meg a Microsoft selejtes programjával böngészni!
Mellesleg, ha elolvasod a cikket, akkor látod, hogy pont arról beszéltem, mint Felhő (SSL).
--
Szeretettel: Károly György Tamás
kgyt(a)kgyt.hu - http://kgyt.hu
SSL vs. programozói hiba
Felhő
Banki program
Értsd, nem alap PHP szessönt fognak alkalmazni, SMS értesítést küldenek minden műveletről, a műveletek késleltetve vannak, stb.
+1
Szvsz alap, hogy törlök minden olyan szessöntídét, ami nincs bejelentkezve, amikor bejelentkezik...
főleg, ha a nem bejelentkezettek nem SSL kapcsolatot használnak.
--
Szeretettel: Károly György Tamás
kgyt(a)kgyt.hu - http://kgyt.hu
lehet, sőt kell is
Komolyan ajánlom figyelmedbe az erről szóló cikkünket, érdemes elolvasni! Például jól megtudhatod belőle, hogy bizony szükséged is lehet az azonosító újragenerálására, ha a session fixation támadások ellen védekezni szeretnél.
Sütik és a privacy
Mi az a P3P? A P3P egy nyílt szabvány, amelyet a W3C ajánl a digitálisan tárolandó adatvédelmi nyilatkozatok számára. Ezt böngészök, mint pl. az IE el tudják olvasni és megfelelöen tudják alkalmazni a biztonsági beállításokat.
ProClub
proclub##kukac##karinthy.hu
ui. csodálkozom, hogy az IE vezetett be elöször és minden teketória nélkül egy nyílt szabványt a böngészöjében...
CSS
--
Szeretettel: Károly György Tamás
kgyt(a)kgyt.hu - http://kgyt.hu
Beléptető rendszer
Aztán jön a user, belép és sql-ből kikéred először az adott felhasználó adatait, majd megnézed hogy az imént a formban elküldött név és jelszó megegyezike az adatbázisban szereplóvel (javasolt md5 titkosítás az adatbázisban)
Ha minden stimmol köv lépsben lekéred a felhasználó jogait, nekem erre egy külön jogok táblám van jog_id , jog_nev, jog mezőkkel. (igy minden modulhoz tudok jogokat kiosztani)
a lekért adatokat beírod egy két dimenziós tömbbe valahogy igy =>
bye Tomi