Autor Zpráva
Larry Flynt
Profil *
Dost by mě zajímalo, jak je to s přenášením Session ID. Leckde se píše, že je potřeba SID nějak přenést na další stránku, buď pomocí cookies, jež se vyberou při zpracování scriptu, nebo jako GET parametr... Jenže jak tak testuji a čtu rozličné články, tak podle mého testování nemá zcela žádný vliv přenesení SID, ale podle leckterých článků je to přímo kriticky důležité. Napadá mě, jestli to není rozličností verzí PHP (používám PHP 5), nebo jestli mi prostě jen něco nedochází. Prosím, poradtě či řekněte svoje postřehy. Díky moc
WertriK
Profil *
Zalezi na nastaveni php.
Rohodne doporucuji vkladat SID do kazdeho odkazu pro pripad ze by uzivatel mel vyple cookies.
Peca
Profil
nemá zcela žádný vliv přenesení SID -jak tomu mám rozumět? SID se v každém případě musí nějak přenést, jinak by session nemohly fungovat. Nejpohodlnější je spolehnout se na to, že uživatel má povolené cookies, pak to funguje samo. V PHP se dá nastavit, aby ke každému odkazu přidalo řetězec SID, ale nevypadá to moc pěkně, nefunguje to tušim u formulářů a nevím, do jaké míry se to dá na webhostinzích zapnout. Ještě je možnost SID dávat všude ručně.
Larry Flynt
Profil *
Rozumím-li všemu správně, SID se předává pomocí cookie samostatně a bez jakéhokoliv mého zásahu. Současně je tedy vhodné doplnit fci scriptu o přenášení SID jako parametr v URL při vyplých cookies.

Pokud ale předávám SID jako parametr, je vcelku dobré jej nějak zabezpečit, má smysl použít md5 nebo vynásobení IP adresou?
pmasarik
Profil
No teraz si to pochopil správne SID sa defaultne prenáša pomocou cookies, pre prípad že má užívatel vypnuté cookies sa dá nastaviť prenášanie cez GET inak session nebude fungovať.

Niekomu sa ale tieto URL nepáčia a preto je okolo toho tolko rečí. Dá sa urobiť aj ukladanie SID do vlastnej databáze, ale zase to nerieši problém ako dokonale zabespečiť ukradnutie SID a napadnutie sessions.
SID v URL je nebezpečné v cookies je to bezpečnejšie.

Ja som tiež dlho hladal a ako najlepšie som začal používať kombináciu:
zmenu session_name session_name('nejakynazov');
pri každom prechode zmenu id session_regenerate_id();

Inak nie som žiadny odborník ale v poslednej dobe som čítal kopec info o tejto problematike a toto je výsledok môjho hladania. Snáď je to správne riešenie. Sám som zvedaví...
Toto téma je uzamčeno. Odpověď nelze zaslat.

0