Форум PHP

Про папку temp выше уже сказали
А про авторизацию - это надо было автору темы говорить. Я же это использую только для кнопки "запомнить меня"

Сессии являются своебразным аналогом куков.
Они не предназначены для передачи ответов пользователя на сервер.
Сессии уникальный индентификатор, создаются и сохраняются на протяжении СЕАНСА ПОЛЬЗОВАТЕЛЯ в виде файла на сервере.
SSL - шифрованная передача данных на сервер, разработан для безопасного взаимодействия между Браузером и Вебсервером.
Если SSL - способ передачи шифрованных данных на сервер, то
Сессии - это файл который создается на сервере, создав переменную, вы можете отслеживать её как глобальную

Безопасность зависит от вас лично, как вы сделаете обработку. Сам файл сессии с сервера стащить практически невозможно, если вас интересует это.
переменные сессии часто храняться в папке temp к которой открыт доступ для скриптов, и если злоумышленник хостится по соседству с вами, то "плакали ваши денюшки"
Хранить логин и пароль в сесии, а затем сверять его с базой.. вообще не имеет никакого смысла, так как результат запроса всегда будет положительным (единственный вариант это когда пользователя удаляют из базы, но в этом случае при удалении грамотно будет просто прервать сессию и повтороно пользователь уже не авторизуется) и кроме как лишнего ненужного запроса к БД никакой смысловой нагрузки этот запрос не несёт.

Если у вас нет ошибок, то нет, никак данные из сессии, которые вы не хотите показать пользователь извлечь не может. Данные храняться на сервере - эти данные предназначены не для пользователя, а для скрипта - показывать их или нет - это уже вам решать.

ну может я там немного не дописал
дальше идет проверка: если количество вытащившехся строк не равно 1, то баг и остановка дальнейшей обработки страницы, а если все норм то заносим в перемненные все необходимые данные о пользователе

Это тоже бабушка надвое...
Если temp's у виртуальных хостингов общие - то...

Извиняюсь за тугодумство, не хотел никого раздражать :)))))))))

>Ну опять же про авторизацию я тут ничего не спрашивал, хотя уже стало интересно чем плох мой способ?

Тем, что аутентификации у Вас, как таковой - нет.
Почему - жевать остоенадцатый раз по новой - грустно, и поэтому я сразу дал ссылку на обсуждение.

> []Мой же вопрос: вот пользователь зарегился, вошел начал играть, ему задаються вопросы, ответы на эти вопросы пишуться в сессии он их может как-нить узреть(ответы в смысле)

только через дыры в Ваших скриптах.

>[]Trianon[/b], ну с айпишником я сделаю так же как в конце той темы что вы мне дали,

я не помню, что там в конце темы - в ответе в все равно оставаться Вам.

>но вопрос(истинный вопрос) остался не отвеченным.

На счет того, видна ли сессия на клиенте?
Напрямую не видна. А дальше - как кривая вывезет.

Я уже несколько раз ответил..
Безопасность зависит от вас лично, как вы сделаете обработку. Сам файл сессии с сервера стащить практически невозможно, если вас интересует это.

Ну опять же про авторизацию я тут ничего не спрашивал, хотя уже стало интересно чем плох мой способ?
Мой же вопрос: вот пользователь зарегился, вошел начал играть, ему задаються вопросы, ответы на эти вопросы пишуться в сессии он их может как-нить узреть(ответы в смысле) в своем личном аккаунте? Если может то сразу встает вопрос, почему бы не написать скриптик который автоматически будет вытаскивать ответы и посылать их в нужном направлении(человеку такой скрипт будет не обыграть) Вот чего я пытаюсь избежать
Trianon, ну с айпишником я сделаю так же как в конце той темы что вы мне дали, но вопрос(истинный вопрос) остался не отвеченным.