Chiarimento definitivo su uso sessioni

[Louis]

Vi chiedo tempo, anche se l'argomento è più che discusso,
per un chiarimento in via definitiva (per ora).

Da ciò che mi risulta (su test in locale) ho potuto riscontrare quanto segue:

Con i COOKIE DISABILITATI oltre che all'uso del File di Sessione (per il transito delle variabili) siamo 'ovviamente' inabilitati anche a quella propagazione 'automatica' del session_id univoco (trasmesso dal server al browser) e che verrebbe impostato in un cookie nella memoria del browser (con scadenza '0' - eliminato a chiusura browser).

Le vie praticabili per il riconoscimento in via univoca di un client e della sua sessione restano URL ed il settaggio di TRANS_SID.

E' così ???

[mark2x]

Oltre ai trans che non mi piacciono... ehm... direi di sì

[Louis]

Grazie Mark2x.

Certo che così...mah!

Tu che metodo usi in alternativa al cookie?

[php_34]

passa l'id di sessione via GET....

[Louis]

Originariamente inviato da php_34
passa l'id di sessione via GET....

Ho avuto modo di leggerti in una discussione nella quale ho ricavato l'impressione che tu deprecassi l'utilizzo URL per il transito del SID. Se così fosse gradirei conoscere le motivazioni che ti hanno portato al cambio di opinione in proposito.

[php_34]

no in quella discussione NON voleva passare l'id via GET perchè utilizzava i cookies, perciò gli ho passato una classe che usava i cookies e non passava l'id via GET quindi non si vedeva nell'url quel phpsessid, solo che qui senza cookies ti viene indispensabile passare l'id di sessione tramite url.

[mark2x]

Originariamente inviato da Louis

Tu che metodo usi in alternativa al cookie?

.. i biscottini...

Per favore, non passare SID via GET, saresti autolesionista....

Motivazioni: http://phpsec.org/projects/

[Louis]

Originariamente inviato da mark2x
.. i biscottini...

Per favore, non passare SID via GET, saresti autolesionista....

Motivazioni: http://phpsec.org/projects/

Ok, mark2x.
A questo punto per permettere la navigazione tra le pagine protette da login rimarrebbe SOLO(?) l'ipotesi di 'invitare' il client all'attivazione dei cookies...NON per la memorizzarvi user e password ma per PERMETTERE LA PROPAGAZIONE DEL SID.

[mark2x]

Sì, il nostro gestore documentale Web lo richiede come requisito. Nessuno ha mai sollevato una sola obiezione.

[Louis]

Trasmessi da form i dati di login, nella pagina di validazione si deve effettuare un controllo per sapere se i cookies sono attivati o meno. Tale controllo credo debba essere previsto per ogni pagina successiva a quella di login.
Se tanto quanto, come imposteresti un controllo del genere?