[php] Problema su sessioni

[L'Inferno]

Salve a tutti... volevo sapere una cosa.

Io devo cerare un applicazione php /mysql ed un utente effettuando al login accede ad unarea riservata è lì fare modifiche, inserire dati, vedere risultati su alcune tabelle.

Ora mi chiedevo... necessito di inserire le sessioni oppure no?

grazie a tutti in anticipo

[}gu|do[z]{®©]

le sessioni sono sicuiramente il modo più semplice e comodo con cui gestirti la cosa...

l'alternativa sarebbe un cookie... siamo lì... ma con il cookie se non usi certe accortezze rischi di avere buchi di sicurezza

[L'Inferno]

grazie intanto per everm risposto

ti volevo chiedere un'altra cosa.

Ma se io registro l'utente, poi quando effettua il login faccio uan verifica sul db che user e password siano corrette e poi gli carico le pagine con cui può interagire con il database non basta?

scusa se ti stresso

[}gu|do[z]{®©]

tu meti un bel session_start() su ogni pagina

poi dopo il login setti una variabile tipo...

$_SESSION['username'] = $user;

ovviamente solo s ela password è corretta

nelle pagine protette semplicemente fai un controllo...


if(!isset($_SESSION['username']))
{
echo "sessione non autorizzata, fai login!";
}
else
echo "ciao {$_SESSION['username']}";

modifica a piacimento chiaramente.. ma il principio è questo

[L'Inferno]

grazie mille... domani provo se nn mi funge qualcosa mi toccherà romperti di nuovo

apparte glis cehrzi grazie per la disponibilità

[gasmor]

ATTENZIONE è esattamente l'opposto di quello che dice
GUIDOZ!

salvare i dati dell'utente in un file di sessione è un'operazione mooooolto deprecabile se non si ha il sito su un server dedicato!

Infatti i file di sessione vengono scritti in una cartella del server e quindi possono essere letti.

L'unico modo per avere un sistema di Login più efficiente e sicuro possibile è usare le sessioni nel database.

qui trovi un articolo

http://freephp.html.it/articoli/view_articolo.asp?id=97

inoltre ci sono discussioni sull'argomento aperte pochi giorni fa (anche se non funziona il motore interno penso che scorrendo le oagine del forum le dovresti trovare subito )

[}gu|do[z]{®©]

Originariamente inviato da gasmor
ATTENZIONE è esattamente l'opposto di quello che dice
GUIDOZ!

salvare i dati dell'utente in un file di sessione è un'operazione mooooolto deprecabile se non si ha il sito su un server dedicato!

Infatti i file di sessione vengono scritti in una cartella del server e quindi possono essere letti.

L'unico modo per avere un sistema di Login più efficiente e sicuro possibile è usare le sessioni nel database.

sì d'accordo.. ma pe run sistema di home banking magari ne vale la pena.. per un sitarello normale mi pare paranoco perchè un attaccante dovrebbe riuscire ad ottenere un servizio di hosting sulla stessa macchina... non credo che nessuno si prenderebbe la briga (se mai sia possibile scegliere la mnacchina) di farlo per qualche stupidata.

Oltretutto apache 2 gestisce diversi utenti (e non il solo ed unico utente nobody) per diversi spazi web sulla stessa macchina.. il che, con la semplice imposizione dei permessi, risolve il problema per sempre ^_^

Insomma: non incasiniamo chi sta iniziando con tecniche di cui probabilmente non hanno bisogno.. capisco citare la possibilità per completezza (mea culpa)... ma non terrorizziamo i novizi su ^_^

[barbagianni]

E' anche possibile salvare la sessione in una directory del proprio sito, a cui si è opportunamente impostato le autorizzazioni.

string session_save_path ( [string path] )

Questa soluzione fornisce le stesse garanzie del salvataggio in db.

[}gu|do[z]{®©]

Originariamente inviato da barbagianni
E' anche possibile salvare la sessione in una directory del proprio sito, a cui si è opportunamente impostato le autorizzazioni.

string session_save_path ( [string path] )

Questa soluzione fornisce le stesse garanzie del salvataggio in db.

già
Però senza salvare in una directory pubblica (accessibile via web o cmq non protetta con httaccess)

ma insomma.. se non si debbono trattare cose "scottanti" va benissimo la sessione di default..