![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 22 Pomógł: 0 Dołączył: 6.11.2007 Ostrzeżenie: (0%) ![]() ![]() |
Zrezygnowałem z pisania własnego session_handlera (co okazało się ponad moje umiejętności) i postanowiłem napisać system autoryzacji na zwykłych sesjach, oczywiście odpowiednio zabezpieczony.
Na blogu Bełdzia wyczytałem, że dobrą praktyką jest wyłączenie możliwości przesyłania SID-a w $_GET i dopisania do .htaccess (bo do php.ini nie mam dostępu) nastepujących linii: Kod php_value session.use_only_cookies 1 php_value session.use_trans_sid 0 Rozumiem, że dzięki temu jedynym sposobem na przesłanie SID-a będzie zmienna $_COOKIE, ale co jeśli użytkownik ma wyłączoną obsługę ciastek... ? Czy nie dojdzie w ten sposób do sytuacji, że user z wyłączonymi ciastkami będzie po każdym kliknięciu wylogowywany? Z góry dzięki za odpowiedzi (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Ten post edytował Mrozie 11.08.2008, 15:51:21 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 1 085 Pomógł: 231 Dołączył: 12.05.2008 Ostrzeżenie: (0%) ![]() ![]() |
Przy session.use_only_cookies użytkownik bez cookies powinien mieć mocno utrudnioną możliwość logowania, zapewne przy tej dyrektywie nic nie zostanie przesłane, ani przez adres, ani przez cookie, których użytkownik nie przyjmuje.
|
|
|
![]()
Post
#3
|
|
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%) ![]() ![]() |
Przy session.use_only_cookies użytkownik bez cookies powinien mieć mocno utrudnioną możliwość logowania, zapewne przy tej dyrektywie nic nie zostanie przesłane, ani przez adres, ani przez cookie, których użytkownik nie przyjmuje. jest na to proste rozwiązanie:
|
|
|
![]() ![]() |
![]() |
Aktualny czas: 9.10.2025 - 23:39 |