| |
|
|
| | Никак не могу определить сколько она живет.. толи после закрытия сайта толи по истичению времени какогото :\ | |
| |
|
|
| |
|
|
| |
для: sidPR
(31.01.2007 в 19:29)
| | | Это зависит от настроект в php.ini - может и так и так. | |
| |
|
|
| |
|
|
| |
для: cheops
(31.01.2007 в 20:44)
| | | У меня тут встал вопрос как лучше организовать хранение инфы ... из сессии в куки и куков в сиссию или напрямую через куки? | |
| |
|
|
| |
|
|
| |
для: sidPR
(31.01.2007 в 23:57)
| | | А что за информация должна сохранятся? Сервер должен "запоминать" её между сессиями пользователя? | |
| |
|
|
| |
|
|
| |
для: cheops
(01.02.2007 в 01:24)
| | | информация о имени пользователя и зашифрованный в md5 пароль ...
имеется ввиду кольцо из куков значения > в сессию > куки > сессия..
или лучше просто напрямую работать с куками без сессий вообще может они не нужны впринцепе... | |
| |
|
|
| |
|
|
| |
для: sidPR
(01.02.2007 в 01:30)
| | | Нет почему, можно использовать кольцо... только учитывать, что информация поступает из cookie и, следовательно, может быть подделана. | |
| |
|
|
| |
|
|
| |
для: cheops
(01.02.2007 в 01:39)
| | | ну так и сессия тоже может подделатся... | |
| |
|
|
| |
|
|
| |
для: sidPR
(01.02.2007 в 02:01)
| | | Если данные, которые помещаются в сессию не проходят через пользовательскую машину - их подделать нельзя, только SID - однако сами данные будут валидными. | |
| |
|
|
| |
|
|
| |
для: cheops
(01.02.2007 в 02:08)
| | | cheops тоесть вы рекомендуете использовать сиссии ибо безопасней... .. просто хочется сделать так чтобы пользователь постоянно входя на сраничку не вбивал по новой логи и пароль... и без куков как быть в такой ситуации.. | |
| |
|
|
| |
|
|
| |
для: sidPR
(01.02.2007 в 02:14)
| | | Нет, без cookie не обойтись, если необходимо, чтобы сайт "помнил" пользователя между сеансами. Сессии традиционно применяются только для сохранении информации в течении одного сеанса, cookie - в течении более длительного времени. Если код не содержит дыр, и cookie и сессии безопасны - поэтому использовать то, что удобнее и позволит предоставить больше функциональности посетителям. | |
| |
|
|
| |
|
|
| |
для: cheops
(01.02.2007 в 02:20)
| | | вот пример
function logincookie($id, $passhash, $user, $expires = 0x7fffffff)
{
setcookie("uid", $id, $expires, "/");
setcookie("pass", $passhash, $expires, "/");
setcookie("user", $user, $expires, "/");
}
|
но еще думаю доменную проверку тоже вставить...
ну и естественно все данные которые в куках будут сравниватся с данными из базы ... соответственно из этих данныз будет стартовать сессия которая тоже будет проверятся.. после чего будет создаватся массив по данным пользователя...с его инфой
на сколько безопасна такая схема? | |
| |
|
|
| |
|
|
| |
для: sidPR
(01.02.2007 в 02:23)
| | | Если нет XSS-уязвимостей, схема безопасна. | |
| |
|
|
| |
|
|
| |
для: cheops
(01.02.2007 в 02:32)
| | | XSS-уязвимость это я понимаю если не правильно сформированны обработки входных данных в GET и POST ? и вставка HTML кода или JS на пагу ? | |
| |
|
|
| |
|
|
| |
для: sidPR
(01.02.2007 в 02:40)
| | | да. | |
| |
|
|
