Передача данных через сессии

[Владимир-other]

Передача данных через сессии

Добрый день!!!
Такой вопросик, из всех источников следует, что переменные сессии передаются либо через куки, если они включены, либо через скрытые формы. В случае, если куки включены, возможно у себя на компе обнаружить эти файлы. Поправьте, пожалуйста, если я ошибаюсь насчет механизма сессиий.
В общем то вопрос к к тому, насколько можно доверять переменным сессий при проверке авторизован пользователь или нет в плане безопасности?
Заранее спасибо...

 

[Фанат]

из всех источников следует

из каких конкретно?
ссылку и цитату.

 

[Владимир-other]

Ща, секундочку, поищу, давно читал..

-~{}~ 06.10.06 12:24:

Реализация механизма сессий в PHP.
Любая сессия открывается с помощью функции session_start(), создающей специальный служебный файл с именем, соответствующим ID сессии, в который впоследствии будут записаны все данные, связанные с текущей сессией. Место размещения этих файлов зависит от настроек PHP. Так что если вы используете в своих скриптах сессии, не забывайте иногда подчищать директорию с этими временными файлами, так как там со временем может накопиться солидное количество ненужных файлов.

Также эта функция используется для продолжения текущей сессии. Таким образом, она должна быть вызвана на каждой странице, использующей данные текущей сессии.

В PHP предусмотрено два способа передачи ID сессии (сокращенно SID):

Через метод GET.
Тогда посетитель будет видеть в своем броузере адресную строку следующего типа:
http://server.com/main.php?PHPSESSID=bdd95bcd4e1e2ef5ec57fc83a69bba86
Через Cookie.
Здесь, соответственно, посетитель не будет видеть признаков существования сессии, SID передается через Cookie.
Следующий шаг в работе с сессиями - запись данных в сессию. Этим занимается функция session_register(). Она сохраняет в файл текущей сессии значения указанных переменных, которыми вы в любой момент можете воспользоваться.

Регистрация данных в сессию должна выглядеть примерно следующим образом:

session_start();
session_register('name', 'birth');
$name = "Вася Пупкин";
$birth = "4 марта";

Теперь на любой странице данного сайта мы можем обратиться к посетителю по имени.

Обратной функции session_register() является функция session_unregister(), которая удаляет данные из текущей сессии. Эта функция используется довольно редко, но иногда бывает очень полезной. Например, в том случае, если вы регистрируете в сессию большое количество переменных, чтобы не перезагружать файл текущей сессии, можно удалить оттуда уже ненужные значения.

 

[Кром]

Владимир-other в каком музее ты нашел этот текст? Так или иначе ни о каких скрытых формах речь в нем не идет и уж тем более о передаче сессионных переменных через куки.

PHP FAQ: Сессии. Подробное описание работы и объяснение механизма.

 

[Фанат]

Владимир-other
отлично. где в этом тексте написано, что "переменные сессии передаются через куки"?

 

[Владимир-other]

Какие то данные все же остаются, как то "Здесь, соответственно, посетитель не будет видеть признаков существования сессии, SID передается через Cookie. "

-~{}~ 06.10.06 14:02:

Да в общем-то вопрос вроде в другом ключе, я ничего не утверждаю насчет работы сессий, что нашел и прочитал, то и есть, если ето не верно, попросил поправить, если есть возможность, дать ссылку на "не музейное обьяснение работы механизма сессий"

 

[Фанат]

ну так купи очки, и прочти, КАКИЕ ИМЕННО ДАННЫЕ там имеются в виду.

Кром
ему не другая статья нужна, а внимательно понять хотя бы это. Он из этой взял, что переменные передаются через куки/формы.

Пока читать не научится, ему любые статьи будут бесполезны

-~{}~ 06.10.06 14:04:

что нашел и прочитал, то и есть, если ето не верно, попросил поправить

там, по поводу передачи, написано всё верно.
Это ты себе навоображал неизвестно чего.

дать ссылку на "не музейное обьяснение работы механизма сессий"

уже дали.

 

[Владимир-other]

Спасибо

 

[Фанат]

Владимир-other
ты всё понял?
что файл с переменными создаётся на сервере, а в куках передаётся только её идентификатор?

 

[Владимир-other]

Yes, я несколько неправильно выразился в первом вопросе, собственно вопрос насколько безопасно хранение идентификатора, нужно ли предпринимать какие либо меры для предотвращения перехвата идентификатора и соответственно входа нерегестрированного пользователя

 

[Кром]

Уровень безопасности обычно имеет прямую зависимость от степени важности конфиденциальных данных. Именно поэтому банковские сайты используют https, а чаты типа "Кроватка", нет. Это к вопросу о мерах.

 

[Владимир-other]

Т.е переход на https после авторизации вполне достаточная мера обеспечения безопасности?

 

[Фанат]

только не после, а до!

 

[Владимир-other]

Спасибо за консультацию

 

[b-d]

Внимательно читал текст. Смеялся почти до слёз. Это нужно переместить в ЮМОР.