Sesje, i session.use_only_cookies Opcje

[Mrozie]

Zrezygnowałem z pisania własnego session_handlera (co okazało się ponad moje umiejętności) i postanowiłem napisać system autoryzacji na zwykłych sesjach, oczywiście odpowiednio zabezpieczony.

Na blogu Bełdzia  wyczytałem, że dobrą praktyką jest wyłączenie możliwości przesyłania SID-a w $_GET i dopisania do .htaccess (bo do php.ini nie mam dostępu) nastepujących linii:

Kod

php_value session.use_only_cookies 1 
php_value session.use_trans_sid 0

Rozumiem, że dzięki temu jedynym sposobem na przesłanie SID-a będzie zmienna $_COOKIE, ale co jeśli użytkownik ma wyłączoną obsługę ciastek... ? Czy nie dojdzie w ten sposób do sytuacji, że user z wyłączonymi ciastkami będzie po każdym kliknięciu wylogowywany?

Z góry dzięki za odpowiedzi (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował Mrozie 11.08.2008, 15:51:21

[Mrozie]

Zacząłem powoli wdrażać podane rozwiązania w życie, jednak nie obyło się bez problemów. Mianowicie, po dopisaniu podanych wyżej linijek do .htaccess jedynym efektem jest wyrzucenie wewnętrznego błędu serwera (500). Próbowałem zmienić php_value na php_flag ale nic to.

Wujek Google podpowiada, że na niektórych serwerach modyfikacja ini przez .htaccess nie przynosi efektu. Chyba jednak te 1,6% userów wyłączających ciastka będzie trzeba doedukować co do przekazywania adresu URL z SID-em osobom trzecim. :|