Hirdetés

  2. Fórumok
  3. Szoftverfejlesztés
  4. PHP programozás
  5. (kiemelt téma)

Új hozzászólás Aktív témák

  • #8249 Tele von Zsinór őstag Brown ügynök #8248
    Új Válasz #8249
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Tele von Zsinór

    őstag

    válasz Brown ügynök #8248 üzenetére

    Azért ez így nem igaz. A sessionid megtartására két taktika van: a sütis és a transitive ID, amikor az url-be teszi bele a php (iniben beállítható módon). Az ordító biztonsági veszélye miatt az utóbbit gyakran kikapcsolják szerveroldalon, azaz ha a kedves user megöli a cookie-jait, általában máris nem megy a session.

    Lacces: a legfontosabb különbséget már írták: az egyik szerver-, a másik kliensoldalon tárolódik.

    Session esetében a kliens egy speciális azonosítót kap, ez az ő session ID-je. Ha a kódodban elindítod a sessiont, akkor a $_SESSION tömb tartalma megmarad hívások közt, és ez egy megbízható tár, azaz a felhasználó nem tud belenyúlni.

    A cookie-t elküldöd a kliensnek. Van rá méret- és darabszám-korlát, szóval csak korlátozott adatot tudsz így elrakni - ráadásul nagyon könnyen manipulálni tudja a felhasználó.

    A session_destroy() a teljes tartalmát törli. A süti ott marad a kliensnél, amíg be nem zárja a böngészőt, de ez minket nem zavar - mindegy, hogy új látogató vagy törlés utáni, a rendszer szempontjából mindkettőnek üres a sessionje.

    Utánaolvasásra érdemes kulcsszó: session fixation.

Új hozzászólás Aktív témák