Ciao,
scusate ma sono nuovo di questi argomenti, devo creare una sezione (sotto login) che giri in php con https;
ovviamente pensavo di registrare una variabile $_SESSION una volta loggati, però mi sono letto che nell'https si deve passare il PHPSESSID via url in quanto non viene salvato in un cookie...
ok, facciamo caso che una volta loggato l'utente vada alla pagina :
prova.php?PHPSESSID=1234
ora però, se aprissi da un altro pc la pagina:
prova.php?PHPSESSID=1234
vedrei tutti i dati dell'utente che si è loggato di là, giusto ?
Leggendo un pò su questo problema ho visto che la soluzione ( http://php.html.it/guide/lezione/300...sion-fixation/ ) al problema stà nell usare
session_regenerate() per cambiare ad ogni pagina quell' 1234 in 5678 (ad esempio)
però è questo che non capisco, come fa il problema a risolversi ? mettiamo che adesso la nuova chiave è :
prova.php?PHPSESSID=5678
se adesso apro nuovamente da un altro pc il link
prova.php?PHPSESSID=5678
vedo nuovamente i dati dell'utente loggato, no ?
Lo sò che è una menata, ma come faccio ad impedire che accada una cosa del genere ? ovvero che il link con la chiave funzioni solo e solo con quella sessione aperta lì ? (quindi solo su quel browser/pc)
Scusate se sono incomprensibile
Rispondi quotando
