Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 4 su 4
  1. 14-02-2012, 18:03 #1
    Ken90
    Ken90 non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2012
    Messaggi
    51

    [Dubbio]Sessioni e configurazioni sessioni

    Il mio è un dubbio teorico.
    So che le sessioni sono dei dati che transitano online con cui il server riconosce il pc e segue le sue azioni. Ma allora cosa è quella session id che va a finire nell'URL o nei cookie?
    Ogni volta che si parla di quel PHPSESSID nell'url viene detto di risolvere con (via PHP):
    ini_set('session.use_trans_sid', '0');
    ini_set('session.use_cookies', '1');
    ini_set('session.use_only_cookies', '1');

    O con (via configurazioni server tramite .htaccess) (che a me nemmeno funzionano via htaccess e non so il motivo):
    php_value session.use_trans_sid = 0
    php_value session.use_only_cookies = 1

    A me pare semplicemente uno sviamento questo; non c'è una soluzione a monte che non faccia viaggiare quel phpsessid sul client? Mi hanno accennato che in asp lo si trasforma in un'application var ma in php? E comunque è una soluzione poco sicura far viaggiare le variabili di sessione nei cookie no?
    Rispondi quotando Rispondi quotando
  2. 15-02-2012, 01:07 #2
    Simo990
    Simo990 non è in linea
    Utente di HTML.it L'avatar di Simo990
    Registrato dal
    May 2010
    Messaggi
    438
    Ciao, il PHPSESSID è semplicemente un valore alfanumerico generato automaticamente ogni volta che avvii una sessione PHP, con la funzione session_start(). Questo valore va a salvarsi automaticamente in un cookie, $_COOKIE['PHPSESSID'], ed è grazie a quest'ultimo se poi il server riconosce l'utente. Il PHPSESSID basta e avanza per riconoscere un utente, non c'è bisogno di salvare variabili di sessione all'interno di cookie, specie se sono dati sensibili... apriresti solo una falla nella sicurezza. Che poi i cookie non siano sicuri di per sé, quello è un altro discorso, ma esistono modi per evitare furti di sessioni (per esempio controllando l'IP), così come esistono altri modi per identificare gli utenti, ma non credo che tu possa fare a meno dei cookie per gestire le sessioni. Se trovi una soluzione alternativa fammi sapere, sono curioso.
    Simone Web Design
    Rispondi quotando Rispondi quotando
  3. 15-02-2012, 11:49 #3
    Ken90
    Ken90 non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2012
    Messaggi
    51
    Beh, si ma le sessioni nel php sono l'unico mezzo per mantenere traccia dell'utenza. Come fanno quindi i grandi siti a risolvere questo problema dato che appunto mettendo la variabile PHPSESSID nei cookie sarebbe una falla di sicurezza? Siamo destinati ad avere nell'url quella variabile? Mi hanno detto che si può codificare perché non appaia nell'url (tutte voci comunque), ad esempio mettendolo negli header, invece che sull'URL.
    Qualcuno che abbia informazioni in merito.
    Anche perché ad esempio non vedo spesso siti con quell'antiestetico PHPSESSID finale (esempio: questo forum), come risolvono?

    Grazie comunque per la risposta
    Rispondi quotando Rispondi quotando
  4. 16-02-2012, 11:46 #4
    Ken90
    Ken90 non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2012
    Messaggi
    51
    Up


    Non c'è soluzione? >.<
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.