Forse ho fatto una cavolata forse no ma ho impostato in ogni pagina del mio sito, dopo il login dell'utente, così:
Codice PHP:<?php
// Controllo accesso
session_start();
if (!isset($_SESSION['user']))
{
header('location:errore.php');
exit;
}
?>
<?php
include('../include/db.php'); // includo i parametri db
include('../include/session.php'); // includo i paremetri sessione
include('../include/license.php'); // includo i parametri di licenza
if($user!="")
{ ecc.ecc.ecc.
E' errato?
No no, in linea di massima e' giusto; o, almeno, io ho sempre usato questo sistema;
o meglio, ho usato una funzione che verificava sia se la variabile di sessione era istanziata sia se non avesse superato un certo tanto di vita (esempio, la faccio scadere dopo 30 minuti che non viene aggiornata la variabile $_SESSION['user']->LifeTime)
~Wakka~
Per il tempo non mi serve perchè l'utente può rstare connesso quanto vuole, però mi interessava sapere se così è un modo corretto che devo mettere in ogni pagina in modo tale che ci sia si il dovuto controllo sulla sessione anche su i dati.
Ma anche nel mio caso l'utente puo' rimanere connesso quanto vuole...solo, se e' inattivo per piu' di 30 minuti, chiedo una nuova autenticazioneOriginariamente inviato da Wilfred87
Per il tempo non mi serve perchè l'utente può rstare connesso quanto vuole, però mi interessava sapere se così è un modo corretto che devo mettere in ogni pagina in modo tale che ci sia si il dovuto controllo sulla sessione anche su i dati.
~Wakka~
Capisco, scusate se sono stressante ma una curiosità, così come ho fatto vado a rischio problemi sicurezza?
Diciamo di no...anche se io, per una maggiore pignoleria, ho dato alla sessione un nome md5 mio personale, anche se non credo fosse necessario...qualcosa del tipo md5("!nomesessionemoltoSTRAn0!")...Originariamente inviato da Wilfred87
Capisco, scusate se sono stressante ma una curiosità, così come ho fatto vado a rischio problemi sicurezza?
Per il resto, non credo. Anche se, al posto di rimandarlo a errore.php potresti rimandarlo alla pagina di login, esempio.
~Wakka~
Si errore è una cosa provvisoria, dove mando l'utente ad una pagina che dici "Guarda questa sessione è aperta già" ad esempio, uhm md5 sempre da inserire qui:
e come?Codice PHP:<?php
// Controllo accesso
session_start();
if (!isset($_SESSION['user']))
{
header('location:errore.php');
exit;
}
?>
Prima di session_start(), session_name( md5( 'nomesessione' ) )
~Wakka~
'nomesessione' metto un nome qualsiasi mio, oppure devo aggiungere qualcosa di specifico? Scusa, mi stai inuriosendo questo cosa mi eviterà?
Non trovo alcun articolo che ti spieghi bene il perche', e non ricordo dove ho letto il suo utilizzoI have 2 websites in same server. But sometimes when the 1st website changes the session_id() using session_regenerate_id() then the 2nd website still follow the 1st website current session_id(). No problem when using different browser. But have this problem when using tab or new window in IE / Mozzila browser....
~Wakka~
Permessi di invio
Rispondi quotando