Új hozzászólás Aktív témák

• #8249 Tele von Zsinór őstag Brown ügynök #8248

  Új Válasz 2012-01-28 09:38:12 #8249

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Tele von Zsinór

  őstag

  válasz Brown ügynök #8248 üzenetére

  Azért ez így nem igaz. A sessionid megtartására két taktika van: a sütis és a transitive ID, amikor az url-be teszi bele a php (iniben beállítható módon). Az ordító biztonsági veszélye miatt az utóbbit gyakran kikapcsolják szerveroldalon, azaz ha a kedves user megöli a cookie-jait, általában máris nem megy a session.

  Lacces: a legfontosabb különbséget már írták: az egyik szerver-, a másik kliensoldalon tárolódik.

  Session esetében a kliens egy speciális azonosítót kap, ez az ő session ID-je. Ha a kódodban elindítod a sessiont, akkor a $_SESSION tömb tartalma megmarad hívások közt, és ez egy megbízható tár, azaz a felhasználó nem tud belenyúlni.

  A cookie-t elküldöd a kliensnek. Van rá méret- és darabszám-korlát, szóval csak korlátozott adatot tudsz így elrakni - ráadásul nagyon könnyen manipulálni tudja a felhasználó.

  A session_destroy() a teljes tartalmát törli. A süti ott marad a kliensnél, amíg be nem zárja a böngészőt, de ez minket nem zavar - mindegy, hogy új látogató vagy törlés utáni, a rendszer szempontjából mindkettőnek üres a sessionje.

  Utánaolvasásra érdemes kulcsszó: session fixation.

Új hozzászólás Aktív témák