[PILLOLA] sessioni

[hunfer l'elfo]

mi avete salvato la vita...bella li gran bel post


MITICUZZZ!!! :gren: :metallica

[Ecchime]

Originariamente inviato da Fabio Heller
Ciao,
la sessione rimane valida finchè il cookie non scade e/o il file con i dati di sessione supera il session.gc_maxlifetime:
dov'è il problema? Il vero pericolo (relativo) è quando l'id di sessione viene passato tramite gli url, in teoria qualcuno potrebbe leggerselo e andare su un'altro pc e interferire con la mia sessione. Comunque il rischio si può limitare in vari modi.

Per favore puoi spiegare come limitare il rischio.
Grazie

[Ecchime]

Originariamente inviato da chris
io invece propendo per l'errore degli apici... mi è capitato un sacco di volte.

gli apici singoli non possono raccogliere l'indice di un array dentro a apici doppi:

echo "$_SESSION['var']"; // no

echo "$_SESSION[var]"; // sì

$_SESSION[var] anche se funziona, non è corretto e deve essere $_SESSION['var']

quindi echo "quello che vuoi ".$_SESSION['var']." quello che vuoi";

[chris]

Originariamente inviato da Ecchime
$_SESSION[var] anche se funziona, non è corretto e deve essere $_SESSION['var']

tra apici doppi è corretto (anzi indispensabile) non mettere gli apici singoli all'indice dell'array (pena un errore di sintassi)

[chris]

Originariamente inviato da Ecchime
Per favore puoi spiegare come limitare il rischio.
Grazie

se ne è parlato molto, forse anche in questa pillola.
1. controllo sull'ip
2. controllo sul tempo

già questi due controlli banali limitano di molto i rischi.

[Ecchime]

Originariamente inviato da chris
tra apici doppi è corretto (anzi indispensabile) non mettere gli apici singoli all'indice dell'array (pena un errore di sintassi)

Ciao Chris,
ti ringrazio anche per il suggerimento sull'ip ed il tempo, ho riletto il thread e hai ragione.

Invece ti chiedo:
tu dici che così è giusto:
$_SESSION["var"]
e così da un errore di sintassi:
$_SESSION['var']

Ho capito bene, scusa ma sono solo agli inizi.
Grazie.

[chris]

Originariamente inviato da Ecchime
Ciao Chris,
ti ringrazio anche per il suggerimento sull'ip ed il tempo, ho riletto il thread e hai ragione.

Invece ti chiedo:
tu dici che così è giusto:
$_SESSION["var"]
e così da un errore di sintassi:
$_SESSION['var']

Ho capito bene, scusa ma sono solo agli inizi.
Grazie.

no, l'indice dell'array (quello tra parentesi quadre) deve essere compreso tra apici singoli o doppi (è indifferente).
quello che genera un errore è mettere gli apici all'indice se l'intero array è inserito in una stringa tra apici.
es: echo "$_SESSION['indice']"; //errore
echo "$_SESSION[indice]"; //corretto
echo $_SESSION['indice']; //corretto
echo $_SESSION["indice"]; //corretto

[Ecchime]

Ah dimenticavo,
qui si dice che il login con le sessioni è sconsigliato per i siti in hosting, in quanto qualcuno ospitato sullo stesso server potrebbe copiarsi il file di sessione ed utilizzarlo successivamente.

Ma quindi a questo punto se quanto detto in quel thread è vero, le sessioni classiche è meglio non utilizzarle mai sui siti in hosting ed affidarsi quindi al metodo consigliato in quel thread, ossia le sessioni con mysql.

Allora anche se faccio un controllo sul tempo e l'ip, qualche mago puo' copiarsi il file e farsi spacciare per quell'ip e alterare il tempo a quello attuale.

E che stavo già iniziando ad apprezzare le sessioni e tutto di colpo mi viene detto "ehi guarda che il login con le sessioni è pericoloso".

Ma allora mi faccio il login classico con il 401, con l'inconveniente che il logout viene fatto solo alla chiusura del browser.

Che ne pensate?

[Ecchime]

Originariamente inviato da chris
no, l'indice dell'array (quello tra parentesi quadre) deve essere compreso tra apici singoli o doppi (è indifferente).
quello che genera un errore è mettere gli apici all'indice se l'intero array è inserito in una stringa tra apici.
es: echo "$_SESSION['indice']"; //errore
echo "$_SESSION[indice]"; //corretto
echo $_SESSION['indice']; //corretto
echo $_SESSION["indice"]; //corretto

Grazie per l'aiuto.
Mi illumini anche sulla domanda che ho appena fatto.

Grazie in anticipo.

[Ecchime]

up