PHP: kaip apsaugoti sesiją?

Sveiki,

gal galite patarti, kaip būtų galima kuo daugiau apsaugoti sesijas ($_SESSION[]) naudojamas prisijungimui prie web'o?

naudoju taip:

prisijungiant prie tinklalapio:

session_start();
$_SESSION['prisijungta'] = "sdgnskdoadasjkfbio";
$_SESSION['vardas'] = $username;
header("Location: /file.php");
exit;

atsijungiant:

session_start();
unset($_SESSION['prisijungta']);
unset($_SESSION['vardas']);
session_destroy();
header("Location: /");
exit;

ar būtų galima kažką padaryti daugiau? kaip?

Ačiū.

Gali filtruot kiekvieną sesiją atskirai, arba susikurk funkciją ir panaudok array_map()

naudok karkasus

gal konkrečiau galit? supratau - nieko :D

Pasirasyk savo sessijas, viska laikik duomenu bazeje, naudok tokenus.

Pasirasyk savo sessijas, viska laikik duomenu bazeje, naudok tokenus.

jau geriau... gal pavyzdžių būtų galima? pas jus bloge nieko tokio neradau...

taigi... truputį pakeičiau prisijungimą su sesijomis...

iškviečiam sesion_start():

session_name("mySession");
if (!session_start()) die("Atsiprašome, nepavyko sukurti sesijos! Prisijungti nepavyko.");

prisijungiant:

unset($_SESSION['failHits']);
session_regenerate_id(true);
session_register('logged');
$_SESSION['login'] = $userID;
header("Location: ...");
exit;

atsijungiant:

if (session_is_registered('logged') && isset($_GET['logout'])) {
session_regenerate_id(true);
session_unset();
session_destroy();
header("Location: ...");
exit;
}

tikrinant:

if(session_is_registered('logged')) {
header('Location: ...');
}

ka butu galima dar patobulint?

Paskaityk warning apie sesion is registered:

http://php.net/manual/en/function.session-is-registered.php

Paskaityk warning apie sesion is registered:

http://php.net/manual/en/function.session-is-registered.php

blem... o ką vietoj jo naudot?

taip išeina, kad ankščiau buvo geriau?.. :D stengies kuo geriau, o gaunas kaip visada :D

Tai kad man rodos, paprasčiausias isset($_SESSION['kazkas']) turėtų veikti vietoj to is_registered...

O šiaip – viskas lyg ir tvarkoje atrodo (nors su PHP retai susiduriu).

Tai kad man rodos, paprasčiausias isset($_SESSION['kazkas']) turėtų veikti vietoj to is_registered...

 

O šiaip – viskas lyg ir tvarkoje atrodo (nors su PHP retai susiduriu).

taip, jau pakeiciau i isset() :)

na dar visur po įrašymo į sesijas įdėjau session_write_close();

unset($_SESSION['failHits']);
$_SESSION['logged'] = 'taip';
$_SESSION['login'] = $user;
session_write_close();
session_regenerate_id(true);

daugiau jau nieko nerandu...