Autor Zpráva
ajajaj
Profil
Nějak zaboha nemůžu udržet session s vyplými cookies, nemáte někdo nápad jak na to? Ve starém e-shopu mi to fungovalo, ale zatím jsem neobjevil, jak jsem to dokázal...
Joker
Profil
ajajaj:
Závisí to na nastavení session.use_only_cookies, které je od php 5.3 z bezpečnostních důvodů ve výchozím stavu zapnuté.
juriad
Profil
můžeš si PHPSESSID tahat skrz GETové parametry odkazů:
http://www.php.net/manual/en/session.idpassing.php
ajajaj
Profil
tak z toho jsem jelen, běží mi to z jednoho serveru, každý web využívá svoje php.ini, které mají co se týče cookies a sessions stejné nastavení a na jednom to funguje a na druhém ne


a nemůže to mít něco společného s google analytics? že by to udržoval strejda google kvůli statistice?

na starém webu mám měření a server automaticky nastartuje _SERVER["HTTP_COOKIE"], _REQUEST["PHPSESSID"], _COOKIE["PHPSESSID"]
Jan Tvrdík
Profil
ajajaj:
Na co to potřebuješ? Předávat session identifikátor jinak než pomocí cookies je z hlediska bezpečnosti silně nedoporučované.
ajajaj
Profil
slouží to k plnění košíku a odeslání objednávky, pak se smaže
Jan Tvrdík
Profil
ajajaj:
To chápu, ale proč nemůže použít cookies jako všichni ostatní?
ajajaj
Profil
jasně že může, ale když je bude mít vypnuté, tak ztratím zákazníka kterej možná trpí paranoiou, ale sedí na milionu ;) a nechce se mi psát otravné hlášení typu: ajta krajta tady má někdo vypnutý cookies protože si myslí, že je chytrej... ale bez toho nám nenakoupí...

a taky to nechci řešit předáváním v url, ale asi nic jiného mi pro návštěvníky s vypnutými cookies nezbude
Jan Tvrdík
Profil
ajajaj:
ale když je bude mít vypnuté, tak ztratím zákazníka kterej možná trpí paranoiou, ale sedí na milionu
Věř mi, že je lepší ztratit hloupého paranoidního zákazníka (chytrý by si všiml, že předáváš session id v url, což je výrazně nebezpečnější, a šel by pryč), než ztratit výrazně více zákazníků kvůli tomu, že ti někdo hackne eshop díky bezpečnostní zranitelnosti, kterou jsi ty úmyslně vytvořil.
ajajaj
Profil
nechci se hádat, ale zákazník je prvořadý, zbytek tj. bezpečnost je mojím úkolem...

1) jediné co může někdo hacknout je obsah koše do té doby, než bude uložen jako objednávka, takže uvidí jen naházené položky, žádnou adresu a citlivé údaje, čímž toho útočník moc nezíská, ty jsou stejně v eshopu...

2) uložím do db sessid a jeho platnost, po uplynutí doby vše smažu
3) při ukládání obj. a adresy zákazníka vygeneruji nový sessid který mi to propojí, nikde v url ho neukážu a pak ho hned zruším, proběhne jen na straně serveru
4) zákazníkovi odešlu mail s linkem na náhled objednávky obsahujícím 16-32znakůklíč:16-32znakůheslo

5) všichni zákazníci chtějí hacknout můj eshop a žádného zákazníka nesmím ztratit ;)

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: