Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Sesje, i session.use_only_cookies
Mrozie
post
Post #1





Grupa: Zarejestrowani
Postów: 22
Pomógł: 0
Dołączył: 6.11.2007

Ostrzeżenie: (0%)
-----

Zrezygnowałem z pisania własnego session_handlera (co okazało się ponad moje umiejętności) i postanowiłem napisać system autoryzacji na zwykłych sesjach, oczywiście odpowiednio zabezpieczony.

Na blogu Bełdzia  wyczytałem, że dobrą praktyką jest wyłączenie możliwości przesyłania SID-a w $_GET i dopisania do .htaccess (bo do php.ini nie mam dostępu) nastepujących linii:

Kod
php_value session.use_only_cookies 1 
php_value session.use_trans_sid 0


Rozumiem, że dzięki temu jedynym sposobem na przesłanie SID-a będzie zmienna $_COOKIE, ale co jeśli użytkownik ma wyłączoną obsługę ciastek... ? Czy nie dojdzie w ten sposób do sytuacji, że user z wyłączonymi ciastkami będzie po każdym kliknięciu wylogowywany?

Z góry dzięki za odpowiedzi (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował Mrozie 11.08.2008, 15:51:21
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Shili
post
Post #2





Grupa: Zarejestrowani
Postów: 1 085
Pomógł: 231
Dołączył: 12.05.2008

Ostrzeżenie: (0%)
-----

Przy session.use_only_cookies użytkownik bez cookies powinien mieć mocno utrudnioną możliwość logowania, zapewne przy tej dyrektywie nic nie zostanie przesłane, ani przez adres, ani przez cookie, których użytkownik nie przyjmuje.
Go to the top of the page
+Quote Post
pyro
post
Post #3





Grupa: Zarejestrowani
Postów: 2 148
Pomógł: 230
Dołączył: 26.03.2008

Ostrzeżenie: (0%)
-----

Cytat(Shili @ 13.08.2008, 11:57:36 ) *
Przy session.use_only_cookies użytkownik bez cookies powinien mieć mocno utrudnioną możliwość logowania, zapewne przy tej dyrektywie nic nie zostanie przesłane, ani przez adres, ani przez cookie, których użytkownik nie przyjmuje.


jest na to proste rozwiązanie:

[PHP] pobierz, plaintext 
  1. <?php
  2. $browser = get_browser(null, true);
  3. if($browser['cookies'] == 0)
  4. {
  5. die('musisz miec wlaczone cookies...');
  6. }
  7. ?>
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post

Posty w temacie
- Mrozie   Sesje   11.08.2008, 15:49:50
- - JoShiMa   Cytat(Mrozie @ 11.08.2008, 16:49:50 )...   11.08.2008, 17:06:36
- - bełdzio   no coz nie ma nic za darmo teraz tylko pytanie ja...   11.08.2008, 17:35:29
- - Crozin   Generalnie użycie session_regenerate_id" titl...   11.08.2008, 18:11:26
- - Mrozie   OK, ciastka w takim razie zostają. Ale co do nich...   12.08.2008, 15:49:42
- - Shili   Przeglądarkę możesz sprawdzać spokojnie - zlicz so...   12.08.2008, 16:04:25
- - Mrozie   Hmmmm, nie zrozumieliśmy się chyba jednak. Chce o...   13.08.2008, 00:05:15
- - Shili   CytatMyślałem o czymś takim: przy logowaniu zapisu...   13.08.2008, 09:48:45
|- - Mrozie   Cytat(Shili @ 13.08.2008, 10:48:45 ) ...   13.08.2008, 10:02:11
- - Shili   CytatSęk w tym, że na dobrą sprawą, co by nie wrzu...   13.08.2008, 10:09:39
- - Mrozie   Ok, to jeszcze jedno. Czy zamiast przekazywania SI...   13.08.2008, 10:34:48
- - Shili   Tak naprawdę identyfikator sesji tak czy siak się ...   13.08.2008, 10:39:52
- - Mrozie   Czyli wychodzi na to, że jeśli ktoś się znajdzie w...   13.08.2008, 10:48:16
- - Shili   Przy session.use_only_cookies użytkownik bez cooki...   13.08.2008, 10:57:36
|- - pyro   Cytat(Shili @ 13.08.2008, 11:57:36 ) ...   13.08.2008, 11:00:39
- - Mrozie   Zacząłem powoli wdrażać podane rozwiązania w życie...   14.08.2008, 00:38:58

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 9.10.2025 - 23:39
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn