piccolo chiarimento su sessioni

[Nix82]

Colleghi scripterati

vorrei una piccola delucidazione sulle variabili di sessione

quando si entra in un'area riservata per esempio un pannello di amministrazione si effettua il log-in.
Se si utilizzano le sessioni al momento della verifica dei dati inseriti si crea una variabile di sessione $_SESSION['admin'] per esempio e la si imposta ad un valore.
Io vorrei sapere se, il valore di tale variabile è casuale:
true, 'fatto', 'admin' , 1

oppure un valore ben noto e naturalmente segreto: il SID o un numero casuale random dentro un db.

Tutto questo a scopo di sicurezza naturalmente.
Spero di essermi espresso in maniera comprensibile

grazie

[piero.mac]

La variabile di sessione non si crea motu proprio, ma la crei tu assegnando quel che ti pare a $_SESSION.

[Nix82]

Originariamente inviato da piero.mac
La variabile di sessione non si crea motu proprio, ma la crei tu assegnando quel che ti pare a $_SESSION.

ecco lo sapevo non mi sono spiegato molto bene.
Con la mia frase: "si crea una variabile di sessione" intendevo che io devo creare una varibile di sessione $_SESSION['quello_che_voglio'] e fin qui tutto bene.

Adesso la mia domanda è:
è più sicuro dare a questa varibile un valore segreto del tipo: SID, un numero casuale random, una password

o è completamente uguale di settare la variabile a true o 'fatto' o 'log_in_eseguito' ?

Tutto questo a vantaggio di sicurezza o è completamente indifferente ? :master:

[piero.mac]

Originariamente inviato da Nix82
ecco lo sapevo non mi sono spiegato molto bene.
Con la mia frase: "si crea una variabile di sessione" intendevo che io devo creare una varibile di sessione $_SESSION['quello_che_voglio'] e fin qui tutto bene.

Adesso la mia domanda è:
è più sicuro dare a questa varibile un valore segreto del tipo: SID, un numero casuale random, una password

o è completamente uguale di settare la variabile a true o 'fatto' o 'log_in_eseguito' ?

Tutto questo a vantaggio di sicurezza o è completamente indifferente ? :master:

Completamente indifferente.

Se arrivo a leggere il $_SESSION dentro puo' esserci dal kamasutra al vangelo... il problema e' non arrivare a leggerlo. Infatti e' per questo che si usano le sessioni su db, proprio per non rischiare l'accesso al file di sessione.

[drAlberT]

diciamo che le sessioni su DB si possono usare *anche* per questo ... ritengo che il motivo maggiore sia comunque quello della HA che una struttura basata su DB può rendere possibile (NFS non scala per nulla e porta a problemi di locking)

[Nix82]

Originariamente inviato da piero.mac
Completamente indifferente.

se faccio questa domanda ho una buona motivazione.

Ero in locale, stavo facendo 2 siti contemporaneamente.
Ho finito entrambi. Li voglio provare.
Entro nel sito 1 esego il log-in di amministrazione ( in entrambi i siti avevo messo $_SESSION['admin'] = true; ) e testando il sito ho visto che funzionava tutto.

Rientro nella root directory di apache senza chiudere il browser per testare l'altro sito. Entro nel sito 2 e tacccccccc senza fare niente ero già amministratore del sito


questo perchè avevo lo stesso SID e stesso cookie del sito precedente in cui avevo impostato la variabile di sessione.
Naturalmente questo solo perchè localhost ha un solo cookie per tutti i siti.

Insomma ho paura che mi succeda una cosa del genere anche in remoto in una qualche maniera non molto definita. Ecco tutto

[piero.mac]

Va be' ma mettere = true e' il massimo dei minimi. Se chiami uno giuseppe e l'altro francesco e controlli che siano proprio cecco e beppe .... non ti succederebbe....