Gestire sessioni con DB

**BOES** · 28-02-2011, 14:25

Ciao amici, dopo aver quasi finito il mio progetto WEB mi accorgo che gestire il LOGIN solamente con le SESSIONI di php non è esaustivo, durano poco, e poi terminano alla chiusura de browser.

adesso avevo intenzione di Creare una Tabella che gestisse le sessioni, e cancellase quelle scadute, e usasse i coockie per contenere L ID univoco (credo come facciano tutti)

pero mi chiedevo, controllando il mio browser, io posseggo dei COOCKIE che contengono sia il mio nome utente e la mia password, o in chiaro o criptata. non è meglio tenere nei coockie solo ID univoco e pescare ogni volta il file dal DATABASE, per evitare malevoli intensionati... o mi sfugge qualcosa?

grazie amici

**Fractals87** · 28-02-2011, 14:39

non ho ben capito cosa tu intenda... ma la direzione che vuoi prendere è quella giusta...
io agisco sempre in due modi:
1- all'autenticazione dell' utente creo una stringa alfanumerica univoca e creo la variabile di sessione in modotale da poterla controllare in ogni pagina (confrontando la stringa) per vedere se l'utente ha effettuato l'accesso.
al momento dell'accesso creo un rk in una tabella dove metto come id la mia stringa, lo user e tutte le informazioni che mi interessano in base al progetto che vado a costruire..

2- l'altro modo forse un po piu pericolo ma è l'unica cosa che ho come arma nel caso in cui un utente si colleghi all'applicazione avendo disabilitati i cookie è che al momendo dell'utenticazione la stringa generata non la passo al client creando una session ma bensi tramite url es
www.miaapplicazione.it?id=stringa oppure
www.miaapplicazione.it?stringa nel caso in cui vado a nascondere le varibili.
questa stringa poi la memorizzo nel db sempre nella tab sessione gestendola nel modo precedente...

spero tanto di essere stato chiaro

**BOES** · 28-02-2011, 14:43

Originariamente inviato da Fractals87
non ho ben capito cosa tu intenda... ma la direzione che vuoi prendere è quella giusta...
io agisco sempre in due modi:
1- all'autenticazione dell' utente creo una stringa alfanumerica univoca e creo la variabile di sessione in modotale da poterla controllare in ogni pagina (confrontando la stringa) per vedere se l'utente ha effettuato l'accesso.
al momento dell'accesso creo un rk in una tabella dove metto come id la mia stringa, lo user e tutte le informazioni che mi interessano in base al progetto che vado a costruire..

2- l'altro modo forse un po piu pericolo ma è l'unica cosa che ho come arma nel caso in cui un utente si colleghi all'applicazione avendo disabilitati i cookie è che al momendo dell'utenticazione la stringa generata non la passo al client creando una session ma bensi tramite url es
www.miaapplicazione.it?id=stringa oppure
www.miaapplicazione.it?stringa nel caso in cui vado a nascondere le varibili.
questa stringa poi la memorizzo nel db sempre nella tab sessione gestendola nel modo precedente...

spero tanto di essere stato chiaro

io penso, che se un utente ha nel BROWSER i coockie disabilitati, non è degno di visitare il mio SITO

(che funzione mi restituisce lo stato dei coockie dell utente, cosi da agire diversamente?)

**Fractals87** · 28-02-2011, 15:10

fai lo session_start,
poi controlli se la varibile di sessione è settata isset($_SESSION['ID']).
recuperi il valore e selezione il rk che hai sul db sessioni e li hai il tuo utente che ha effettuato l'accesso.
Guarda sul manuale php.net tutto cio che riguarda se session
Ciao

**BOES** · 28-02-2011, 18:26

Originariamente inviato da Fractals87
fai lo session_start,
poi controlli se la varibile di sessione è settata isset($_SESSION['ID']).
recuperi il valore e selezione il rk che hai sul db sessioni e li hai il tuo utente che ha effettuato l'accesso.
Guarda sul manuale php.net tutto cio che riguarda se session
Ciao

no intendevo che funzione mi fa capire se l' utente che i cookie disabilitati o meno.. e cmq per generare l' id univoco non si puo utilizzare una funzione php che crei una stringa casuale di tot numeri, per poi memorizzarlo nel cookie e nel database sessioni?

**Fractals87** · 01-03-2011, 10:16

per la stringa si va bene qualsiasi cosa, per vedere se il client ha i cookie disabilitati non so sinceramente

**BOES** · 01-03-2011, 11:32

Originariamente inviato da Fractals87
per la stringa si va bene qualsiasi cosa, per vedere se il client ha i cookie disabilitati non so sinceramente

un ultima cosa,,,

scommetto che memorizi l attimo in cui ha inizio la sessione con time() e poi come effettui la verifica che sia scaduta o meno?

**Fractals87** · 01-03-2011, 14:02

gestendo tu le sessioni devidi tu facendo un controllo come se vuoi che scadano o meno...

all'atto della creazione del rk sessione memorizzi l'ora e l'ultimo aggiornamento che ha fatto...
per assurdo l'ultima pagina visita con l'ora di visita.
Puoi fare la differenza tra l'ora di ultima visita e quella corrente (all' atto di una nuova richiesta)
e dire sono passati per assurdo 30 min sono 30 min di inattivita con sessione aperta e percui distruggo la sessione e lo rimando al login.

**BOES** · 01-03-2011, 14:10

Originariamente inviato da Fractals87
gestendo tu le sessioni devidi tu facendo un controllo come se vuoi che scadano o meno...

all'atto della creazione del rk sessione memorizzi l'ora e l'ultimo aggiornamento che ha fatto...
per assurdo l'ultima pagina visita con l'ora di visita.
Puoi fare la differenza tra l'ora di ultima visita e quella corrente (all' atto di una nuova richiesta)
e dire sono passati per assurdo 30 min sono 30 min di inattivita con sessione aperta e percui distruggo la sessione e lo rimando al login.

ecco, grazie mille, certe cose e meglio sentirsele ripetere per conferma,

finito il tutto creerò questa gestione delle sessioni

Discussione: Gestire sessioni con DB

Strumenti discussione

Ricerca discussione

Visualizza

Gestire sessioni con DB

Permessi di invio