Decisione tra session e cookie

[Giaco1993]

Buon pomeriggio! Oggi volevo chiedervi un consiglio!
Per un sito di e-commerce, quindi con un carrello e un login necessari cosa mi conviene usare? cookie o session? io ho ragionato un pochino e vi espongo le mie deduzioni.
SESSION:
Non ne sono molto esperto e in una circostanza precedente mi hanno causato molti problemi; non hanno una continuazione dopo la chiusura del browser però sono sempre attivabili.
COOKIE:
Forse piu semplici da usare, continuano praticamente in eterno quasi, ma non sono sempre attivabili =(

Le mie deduzioni molto ovvio sono finite... voi ne avete altre? cosa mi consigliate? uso i cookie o le session? poi usarli anche tutti e due, uno per il carrello l'altro per il login ma quali? e perchè? vorrei da voi piu che altro delle delucidazioni ecco.

Grazie in anticipo!

[Luke70]

Come sempre la risposta giusta è... dipende!


Se vuoi fare un login che ha la funzione "ricordami su questo computer per 2 settimane" devi usare i cookies (ma davvero la vuoi usare per un sito e-commerce? E la sicurezza?)

Io uso le sessioni per il mio login, ma salvo le sessioni su database con un gestore personalizzato (ne trovi su google cercando "sessions on db")

Personalmente salvo nella sessione solo un token che mi riporta ad una tabella connessione utente dove salvo i dati dell'utente corrente per i controlli del caso (ip, user_agent, expire_time...) e poi ad una tabella dove conservo gli ordini per quella specifica sessione.

[rickynewtek]

se non vuoi fare l'opzione "ricordami" usa le sessioni. altrimenti sei costretto a usare i cookie XD

[Giaco1993]

Originariamente inviato da Luke70
Come sempre la risposta giusta è... dipende!


Se vuoi fare un login che ha la funzione "ricordami su questo computer per 2 settimane" devi usare i cookies (ma davvero la vuoi usare per un sito e-commerce? E la sicurezza?)

Io uso le sessioni per il mio login, ma salvo le sessioni su database con un gestore personalizzato (ne trovi su google cercando "sessions on db")

Personalmente salvo nella sessione solo un token che mi riporta ad una tabella connessione utente dove salvo i dati dell'utente corrente per i controlli del caso (ip, user_agent, expire_time...) e poi ad una tabella dove conservo gli ordini per quella specifica sessione.

Sinceramente non ho ben capito le ultime 6 righe potresti spiegarmele un pochino? =( cmq si mi sto concnentrando sulle session ora =)

[Luke70]

Gestisco con le sessioni solo la parte di login: salvo in sessione un codice univoco che mi identifica l'utente (poi ho una tabella contenente gli utenti attivi al momento che mi lega il codice all'utente al suo id (da cui poi posso andare sulla tabella utenti per sapere tutto di lui) ed alle altre variabili che mi servono per gestire la sua visita oltre che per garantire un po' di sicurezza (salvo l'ip e l'user_agent e controllo ad ogni connessione che non siano cambiati)).

Come ulteriore sicurezza non uso il gestore di sessioni normale, ma ne ho creato uno (prendendo spunto da diversi esempi, compreso uno su questo forum) che salba i dati di sessione su db, così ho il massimo controllo sulla durata delle sessioni e sulla loro sicurezza

[Giaco1993]

Gestisco con le sessioni solo la parte di login: salvo in sessione un codice univoco che mi identifica l'utente (poi ho una tabella contenente gli utenti attivi al momento che mi lega il codice all'utente al suo id (da cui poi posso andare sulla tabella utenti per sapere tutto di lui) ed alle altre variabili che mi servono per gestire la sua visita oltre che per garantire un po' di sicurezza (salvo l'ip e l'user_agent e controllo ad ogni connessione che non siano cambiati)).

Come ulteriore sicurezza non uso il gestore di sessioni normale, ma ne ho creato uno (prendendo spunto da diversi esempi, compreso uno su questo forum) che salba i dati di sessione su db, così ho il massimo controllo sulla durata delle sessioni e sulla loro sicurezza

Okok sto capendo! in pratica salvo in una tabella gli utenti che si LOGGANO (oppure quelli che sono online ma non lggati?) usando un nuovo univoco chepenso prorpio sia il session id no? insieme a questo salvo anche il loro id per collegarmi alla tabella di tutit gli utenti registrati e anche altre informazioni. la parte che meno ho capito è questo gestore... che sarebbe? Grazie mille per l'aiuto