sessioni: tenerle in vita alla chiusura del browser

[Mano82]

Ciao a tutti.

ecco il mio problema: sto sviluppando un sito con la possibilità agli utenti di loggarsi per modificarne il contenuto. una piccola comunità, insomma. ora, il sito è strutturato con le sessioni, per riservare la visione/modifica di alcune pagine solo agli utenti connessi e all'admin, e funziona perfettamente. mi è stato chiesto da un utente se fosse possibile evitare di fare il login ogni volta che si ricollega alla pagina. e qui nasce il mio problema.

allora, la sessione scade di default dopo 24 minuti e alla chiusura del browser. tenendo conto che non ho la possibilità di modificare il php.ini (il sito è hostato su www.ilbello.com), posso estendere la durata della sessione con

codice:

session_set_cookie_params($ses_time);

ma ciò non risolve il problema della chiusura della sessione alla chiusura del browser.

So che una soluzione è usare i cookies, ma vorrei evitare per non dover stravolgere il codice.
C'è un qualche modo per evitare la chiusura della sessione alla chiusura del browser, oppure recuperare le info della sessione precedente facendo così in modo di creare un'unica sessione?

grazie

[Mano82]

non c'è soluzione? sto cercando l'impossibile?

[Nicolablu]

mi dispiace, l'unica maniera sono i cookies...

ammesso e non concesso che i tuoi utenti abbiano tutti l'ip statico potresti registrarli la priam volta e poi ricordarti sempre di loro... è molto improbabile pero' che si verifichi questa condizione

[Mano82]

ok, grazie per la risposta, era quello che temevo, ma speravo in un'altra soluzione...

quindi, tutti i siti (come questo forum) che non richiedono ulteriormente il login, sono gestiti tramite i cookies?

ma posso usare parallelamente cookies e sessioni o conviene scegliere un metodo e usare solo quello? ammetto di non conoscere bene l'uso dei cookies, ma posso farci tutto quello che ci faccio con le sessioni?

un esempio banale...con $_SESSION['username'] e $_SESSION['userid'] mi "porto" per tutto il sito il nome e l'id dell'utente loggato cosicchè se devo fare una query ho i dati di partenza...si può fare con i cookies o è necessario usare comunque le sessioni?

[Nicolablu]

l'uso dei coockies è supplementare a quello delle sessioni.

Teoricamente con i cookies puoi fare tutto quello che fai con le sessioni, tuttavia ti consiglio di utilizzare entrambe: si tratta di una questione di sicurezza. I cookies non sono altro che piccoli file di testo immagazzinati dal browser al pc dell'utente. Ipoteticamente chiunque puo' aprirli e leggerli.

Immagina ora per caso che sul cookie che il tuo sito rilascia una volta effettuata la prima login venga salvata l'id dell'utente.

il cookie apparirebbe come qualcosa di questo tipo

id_user | 2032

ogni volta che l'utente naviga il tuo sito viene fatta la query al db tramite questa id_user, nulla pero mi vieta di aprire il file e cambiare il 2032 in 1. in questo modo tutte le query verebbero fatte con id_user = 1, in parole povere potrei spacciarmi per qualsiasi utente.



Se invece decidi di salvare nel cookies username e password che l'utente usa per loggarsi la prima volta, puoi utilizzare le lessioni in questa maniera: la prima volta che l'utente ritorna da te dopo aver chiuso il browser, guardi se ha il cookies, se si tenti di loggarti con unsername e password in esso contenute, se l'accesso avviene con successo avii tu una sessione per lui (logicamente l'utente non vedrà nulla di tutto questo procedimento), altrimente fai comparire il form di login.

Questa è solo una delle possibili soluzioni, poi a dirla tutta è sempre meglio criptare la psw, php offre ottimi algoritmi di cripting (md5 per esempio).

in generale cmq l'uso dei cookies anche se spesso bistrattato è l'unico sistema alla base della personalizzazione dell'esperienza navigativa estemporanea... quindi volente o nolente ci tocca usarli

[Mano82]

grazie mille per la risposta, Nicolablu. hai chiarito in pieno i miei dubbi. vedrò di studiarmi meglio i cookies allora.

grazie e a presto!