Ho delle variabili di sessione dove memorizzo dei dati tipo nomeutente e password, purtroppo ho notato che vanno a finire in coda al link
http://www.xxx.it/prova.php??PHPSESS...c10a881b914e13
C'e un modo per nascondere queste variabili di sessione??
Ho delle variabili di sessione dove memorizzo dei dati tipo nomeutente e password, purtroppo ho notato che vanno a finire in coda al link
http://www.xxx.it/prova.php??PHPSESS...c10a881b914e13
C'e un modo per nascondere queste variabili di sessione??
Anche se c'è il rischio dello sniffing dell'id di sessione, in realtà il rischio è limitato, stai passando l'id di sessione in get solo all'utente che sta navigando il sito, e l'id di sessione serve per recuperare la sessione e servirla all'utente che l'ha richiesta.
Teoricamente se io dall'url che hai postato prendessi il PHPSESSID e lo usassi per visitare il tuo sito potrei vedere la sessione, ma dovresti comunque essere tu a passarmelo (oppure potrei prendermelo sniffando il traffico).
Potresti evitare di passarlo via get usando i cookie come memorizzazione della sessione, e anche cosi non saresti immune allo sniffing, ma perlomeno non lo avresti nell'url (questa è comunque un impostazione della configurazione di php, e se sei in hosting non puoi farci molto).
In ogni caso, perchè mettere username e pass in sessione?
SE un utente si logga, gli chiedi user e pass, li verifichi e poi in sessione metti solo l'id dell'utente che si è loggato, magari con una variabile logged=1, ma perchè mettere la pass in sessione?
ciao
pure se passo tramite sessione una variabilie chiamata logged, avrei sempre il problema dell'utente che passa il proprio link a un altro utente e vedrebbe la pagina con la sessione..
Si puo nascondere la sessione o toglierlo??
purtroppo sto su un host
ma non passi tutte le variabili, ma solo l'id di sessione.
Ti consiglio questa lettura:
http://php.html.it/guide/lezione/299...-sessioni-php/
ciao
Permessi di invio
Rispondi quotando