![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 22 Pomógł: 0 Dołączył: 6.11.2007 Ostrzeżenie: (0%) ![]() ![]() |
Zrezygnowałem z pisania własnego session_handlera (co okazało się ponad moje umiejętności) i postanowiłem napisać system autoryzacji na zwykłych sesjach, oczywiście odpowiednio zabezpieczony.
Na blogu Bełdzia wyczytałem, że dobrą praktyką jest wyłączenie możliwości przesyłania SID-a w $_GET i dopisania do .htaccess (bo do php.ini nie mam dostępu) nastepujących linii: Kod php_value session.use_only_cookies 1 php_value session.use_trans_sid 0 Rozumiem, że dzięki temu jedynym sposobem na przesłanie SID-a będzie zmienna $_COOKIE, ale co jeśli użytkownik ma wyłączoną obsługę ciastek... ? Czy nie dojdzie w ten sposób do sytuacji, że user z wyłączonymi ciastkami będzie po każdym kliknięciu wylogowywany? Z góry dzięki za odpowiedzi (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Ten post edytował Mrozie 11.08.2008, 15:51:21 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 1 085 Pomógł: 231 Dołączył: 12.05.2008 Ostrzeżenie: (0%) ![]() ![]() |
Tak naprawdę identyfikator sesji tak czy siak się pojawi. Jednakże jednocześnie spokojnie można sobie stworzyć taką zmienną sesyjną, nic nie stoi na przeszkodzie.
Dzięki identyfikatorowi php może "śledzić" sesje. Bez niego nie wiadomo czy zmienna login będzie się odnosić do sesji wygenerowanej dla użytkownika A odwiedzającego stronę, użytkownika B, czy C. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 11.10.2025 - 17:05 |