Pouzivat SESSION alebo COOKIE? – PHP – Fórum – Programujte.com

Tuto otazku mam uz skor vyriesenu urcite je podla mna bezpecnejsie pouzivat SESSION pretoze informacie sa ukladaju iba na server nie do uzivatelskeho PC tym prebieha menej prenosov dat medzi PC a Serverom a je to menej nebezpecne, cookie samozrejme mozu mat aj niektori ludia zablokovane ale ako som pozeral na znamejsich openSource cmskach ako je napr. PHP-Fusion stale sa pouziva setcookie na login.. Mam v tom nejasno , takisto som sa aj dopocul ze SESSION je vpodstate tiez cookie len inej formy tak teraz neviem co je pravda co nie mam v tom zmatok :D ako vsetko mi funguje ale chcel by som si to vyjasnit co by ste radili co kde pouzivat a pod. dik :D

http://tociman.net/2008/09/praca-so-sessions-v-php/
...môžeme povedať, že session je vlastne cookies, ale cookies ako sa správne domnievaš, je na strane klienta a tým pádom môže tieto hodnoty ľubovoľne upravovať. Session je na strane servera a každý klient má pridelenné SESSID, ktoré v žiadnom prípade neprenášaj cez url, lebo sa ti tak hocikto môže napr. "dostať do tvojho účtu", resp. mu môžu byť pridelené práva užívateľa, ktorý mal pôvodné SESSID. Trvalé prihlásenie budeš chcieť najskôr riešiť cez cookies, lebo sa to uloží u klienta a práve to potrebuješ. Relácia session po čase expiruje, cookies sú v PC až dokým ich nezmažeš, alebo nevyprší ich stanovená platnosť. Trochu chaoticky som to napísal, ale hádam si to pobral.

Trosku ma prekvapila tato otazka. Ja by som na nu odpovedal jednoducho: Pouzivat SESSION AJ COOKIES :)

Session pouzit na prenos citlivych a dolezitych informacii v aktualnej instancii a cookies na ulozenie informacii ako trvale prihlasenie, precitane prispevky,...

No takže jste mi potvrdili co jsem si myslel - sessions jsou implementované pomocí cookies. :)

To Tocimanko : jj v podstate mas pravdu...ale sesionid sa tak ci tak prenasa.. a je jedno ci v get alebo inak.. sniffovanim ho tak ci tak odchytis...

ja osobne to riesim unikatnym (nahodnym) retazcom cez cookies.. ale potrebne data mam v sql z ktorych ich po kazdom nacitani vytiahnem a ulozim do pola.. je to sice "skoro" to iste ako session.. ale ja som mal s nimi nejak vzdy (zahadne) problemy... tak som sa na ne vyprdel.. :)

To marioff :

ale ja som mal s nimi nejak vzdy (zahadne) problemy... tak som sa na ne vyprdel.. :)

To Tocimanko : kdyz ti nekdo posle neco se sessionid a tobe to jede tak je to bezpecnostni dira... minimalne by script mel kontrolovat aspon par parametru co posila klient... aspon ip a mozna ua ...
jinak kdyz ma nekdo zablokovany cookies tak se bez predavani v url proste nehnete... taky na mobilech se moc na to ze budou umet cookies spolehat neda...

To Tocimanko : praveze som mal vsetko tak ako ma byt a aj tak mi to prihlasenych ludi pred uplinutim nejakeho casu (zivotnosti sedenia) vyhodilo. Nemohol som prist na chybu mesiac.. Skusil som to spravit tak ako to mam teraz (cize unikatny string v cookies a mysql a pekne si len porovnam (+ par veci naviac))... od vtedy ziadny problem.. proste radost zit :smile2: .. uz nemam ani chut znova skusat session..

a co sa tyka vypnutia cookies - uprimne je to problem uzivatela , nie moj.. bez cookies sa ani neprihlasis na mail, internet banking a kopu inych sluzieb.. cize ja ani nechapem kto si to vypina.. (aj tak je ich zanedbatelne mnozstvo)

ok dik za nazory , ja pouzivam momentalne skor COOKIE je to podla mna spolahlivejsie... neviem mno :D

To Lordest : spolahlivost zalezi natom ako si to implementoval... ale tiez odporucam ako KIIV kontrolovat aspon ip-ecku...

Nemá zmysel riešiť, čo je lepšie. Vždy sa dá použiť niečo iné a vždy je v tom konkrétnom prípade lepšie niečo iné. Treba poznať možnosti oboch možností a na základe konkrétneho problému určiť najvýhodnejšie riešenie. Nabudúce, keď budeš potrebovať pomoc v tejto súvislosti, konkrétne popíš, čo ideš robiť a bude oveľa ľahšie povedať ti, čo môžeš použiť a prečo.

ale je nadmíru jasné, že session je lepší. Cookies se hodí opravdu jen vy výjimečných případech. Session se hodí nejvíce pro příhlášení, nějakou identifikaci, uchování privátních dat ....

Cookie se hodí pro "neaplikační věci" :) takže, jakou barvu si ten šmoula nastavil na mých stránkách, a tak.
Dle mě...

A čo také session_regenerate_id() na začiatok každého skriptu?

To hrach : Viacmenej súhlasím. Len som to nevedel vyjadriť celkom presne :) Konkrétny prípad použitia session je napr. v http://tociman.net/2008/09/jednoduche-prihlasovanie-uzivatelov/. Je to len hrubý príklad toho prihlasovania a registrácie užívateľov. Využívam tam session.

To Santas : Je možné, že to zvýši bezpečnosť, lebo sessid bude zakaždým iné, ale v praxi som to nikdy nepoužil, takže ti asi nepoviem. Počkaj, čo povie óóó Veľký Hrach. :))

To hrach : podla mna moze byt pouzitie cookies rovnako dobre ako session (ak ich spravne pouzijes a implementujes)... Data ktore by boli v session si nahadzem do tabulky s prihlasenymi uzivatelmi (co aj tak musim ak chcem zobrazovat napr. detaily o prihlasenom uzivatelovi, inemu uzivatelovi). V cookies bude len nahodne vygenerovany text ktory sluzi ako "kluc" ku konkretnemu riadku v db..

Cize takata implementacia cookies na overovanie prihlasenia je minimalne tak isto dobra a bezpecna ako session pretoze pracuje na presne takom istom principe... Ja teda v tom osobne nevidim rozdiel (podla mna je to riesenie este lepsie, ale to je uz uplne o niecom inom :smile4: )

To marioff : no, ano, to mas pravdu, ale proc bych si mel vytvaret tabulku, a starat se o zapis do ni, apod. kdyz uz to mam hotove s session???

To Santas : danou problematiku jsem dostatečně ještě neprostudoval. ale myslím si, že dělat to automaticky při každém spuštění scriptu není dobré. teď mě napadá, teoreticky, pošlu dva požadavky zároveň, první změní session, a druhý se už nechytí, protože byl poslán s původním sessid.... hm? :)

To hrach : zalezi ci potrebujes "obsah" tych session napr. vypisovat ostatnym uzivatelom (napr. zoznam prihlasenych, pohlavie, cas neaktivity...... atd....) . Ja jednoducho potrebujem vypisovat tieto data (a nie je ich malo) aj ostatnym uzivatelom, cize v mojom pripade je pouzitie session nevhodne..

A čo keď je user paranoik a má vypnuté cookies?

To marioff : no to jo. ale v tom pripade nejde o privatni data. a stejne, potrebujes identifikaci uzivatele... :) takze nejde ani tak o identifikaci...

To Tocimanko : skus si vypnut cookies a skus sa poprechadzat po svojich oblubenych strankach, ib, mail.. atd :) ... napr. aj po programujte :)

taky clovek sa uz musi liecit a nie surfovat po nete :smile6:

To Hrach: trosku som to nepochopil... identifikacia prebieha na zaklade toho uid co ma ulozene v cookies..

To marioff : jde o to, že tvuj priklad neni priklad, u ktereho se ptame co je bezpecnejsi, ale ptame se, co nam lip splni zadani.. :) takze asi tak. pokud jde o chranene pristupy, prihlaseni, pak to tu jiz padlo :)

Tocimanko napsal:
A čo keď je user paranoik a má vypnuté cookies?

To hrach : a to uz preco, vsak som odpovedal na polozene otazky v prvom prispevku:
...bezpecnejsie pouzivat SESSION pretoze informacie sa ukladaju iba na server nie do uzivatelskeho PC tym prebieha menej prenosov dat medzi PC a Serverom a je to menej nebezpecne... ...som sa aj dopocul ze SESSION je vpodstate tiez cookie len inej formy...
co som sa pokusil vyvratit prikladom, ze data (privatne, akekolvek) mozu byt aj v db, nemusia byt nutne v sedeniach.. + som nacrtol preco je "tabulkove" riesenie podla mna lepsie... :smile9:

2 marioff : pri tom vkladani do tabulky s lognutymi usermi by pri vacsej navstevnosti nespomalilo web?

To Lordest : ak budes mat online tisice ludi tak mozno trosku :smile3: , ale v takom pripade by si tam uz mal mat zelezo jak sa patri... takze ziadna zataz nehrozi...