Salve a tutti
avrei bisogno di un aiuto
Dovrei creare un portale senza usare cookie e ssl e javascript.
Ho risolto passando un token(un id univoco generato da server) passato tramite url e memorizzato nel DB,il problema è che se per esempio due utenti si loggano sullo stesso browser e uno dei due per sbaglio scorre gli url del browser si ritrova a sbirciare nei dati dell'altro.
Ora mi domando non esiste un modo per identificare l'utente senza cookie e javascript
La tua richiesta non è comprensibile.
In ogni modo le sessioni non sono un'alternativa ai cookies:
le sessioni si servono di un cookie denominato SID o "session id" (con la funzione session_id() puoi leggerlo con php) con il quale identificano l'utente (individuano il file di sessione di quell'utente).
Gestire il tutto senza cookie richiede una propagazione del SID durante la navigazione tramite variabile GET (ma è complicatuccio da implementare).
http://www.miniscript.it
Se ti sono stato di aiuto in qualche modo in questo forum iscriviti alla fan page di Miniscript - il mio blog di programmazione web.
Cos'hanno i cookie di male?
Da quel che ho capito io vorrebbe fare in modo che non si potesse ad esempio andare nel pannello di controllo di utente che non è loggato usando il link relativo a quella pagina. Se è così, basta che crei una sessione per ogni utente che accede al tuo sito e per i link basta che fai in modo che se la sessione non esiste più (alias logout oppure chiusura del browser) la pagina non sia visibile. Un esempio banale:
@k.b Se fai con i login quello che fai con le sessioni, non diventa facile scoprire i dati di accesso di utente? Basta sbirciare tra i suoi cookie e fatto no? Invece con le sessioni, siccome scompaiono alla chiusura del browser il problema non sussiste. In ogni caso la cosa non vale se l'utente salva i dati di accesso.Codice PHP:start_sessione();
if(Is_Set($_SESSION['utente'])
{
//visualizza pagina;
}
else
{
//visualizza errore;
}
Diventa facile scoprire i dati di accesso utente solo se chi ha sviluppato il sistema di login e' un incompetente. Se invece NON registri dati in chiaro nei cookie, la sicurezza e' la stessa. Per quanto riguarda lo scadere della sessione, anche per i cookie e' possibile impostare una durata massima. Spesso pero' il login persistente e' una scelta precisa (per comodita' dell'utente) e non una questione tecnica.Originariamente inviato da Mattnet
@k.b Se fai con i login quello che fai con le sessioni, non diventa facile scoprire i dati di accesso di utente? Basta sbirciare tra i suoi cookie e fatto no? Invece con le sessioni, siccome scompaiono alla chiusura del browser il problema non sussiste. In ogni caso la cosa non vale se l'utente salva i dati di accesso.
Allora ,
Il problema che ho sollevato,è dovuto semplicemente perche i dipendenti dell'azienda che mi ha contattato per la realizzazione del portale,per una questione loro di privacy(so fissati insomma)
disattivano cookie e javascript.
Allora l'unica soluzione e' il token nella query string, che sia il session_id o uno personalizzato.
scusate, ma nella mia ignoranza non si puo' gestire in questo modo:
L'utente effettua il login e gli viene asseganto un idsession univoco
La sessione rimane attiva navigando tra le pagine e non c'è bisogno di passarla ne in GET ne in POST.
Poi magari oltre l'idsession univoco si porta con se anche l'id utente che ci servirà per fare varie operazioni in select, insert ecc.
Poi magari si cripta anche la session.
A cosa serve cookie e javascript?
NO WORK TRIBE
www.surftribe.it
Il session id o viene passato tramite cookie o viene passato tramite query string (GET).Originariamente inviato da Surftribe
A cosa serve cookie e javascript?
Permessi di invio
Rispondi quotando