נניח ואני רוצה להשתמש ב-Session, אבל ללא כל פונקציות ה-Session, אלא בעזרת פונקציית ה-Cookie. (כלומר שיהיה לי "אפקט" של Session ... )

בעמוד של setcookie כתוב שאם קובעים את הפרמטר השלישי (expire) ל-0, אז העוגיה תימחק כאשר הדפדפן ייסגר. שזה בדיוק כמו ב-Sessions.
מכאן יוצא שההבדל היחיד בין שיטת ה-Sessions לבין ה-Cookies היא בכך שב-Session כל המידע, מלבד ה-SID (אשר נשמר אצל הלקוח), נשמר בקבצים בשרת, ואילו ב-Cookie כל המידע נשמר על העוגיה שאצל הלקוח.

ואני די בטוח שכולנו שומרים את כל המידע (מלבד ה-SID, שהוא חייב להימצא גם אצל הלקוח כדי לזהות אותו) שקשור למשתמש ב-DB, ולא בעוגיה או בקובץ שעל השרת...

אם כך, למה בכלל להשתמש ב-Sessions מלכתחילה?
האם זה לא פשוט יותר להשתמש ב-setcookie וסגרנו את כל פרשת ה-Sessions?

אף פעם לא השתמשתי תכל'ס ב-Sessions (בעיקר מהסיבה שלא הבנתי בשביל מה), אז הנושא הזה לא מובן לי באופן מוחלט...

תודה ולילה טוב

עריכה: איזה קטע אני חסום כי זה 1 באפריל D:

Sessions פשוט הרבה הרבה יותר נוח ,אם אני זוכר נכון התהליך היחיד שהשתמשתי בו בעוגיה זה בשביל ליצור אפשרות לזכור את ההתחברות של המשתמש לאתר ,אבל מעבר לזה אין שום סיבה למה לא להשתמש בSessions.

עוגיות אפשר לזייף
אם אתה משתמש בעוגיות המשתמש יכול לכתוב לעצמו עוגיה שהוא מחובר ותאלץ לאמת את זה בכל פעם שהוא באמת מחובר

במקום להשתמש ב Sessions שנשמרת בשרת ואתה יודע שהמידע שנמצא עליה אמין

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

אתה רציני או שזה בשביל ה1 באפריל?

מי שמאמין לו = פטי!
אין סיכוי שבעולם שהוא ישתמש רק בעוגיות...
יש כל מיני סוגים של הוכחות:
1) אם תריצו חיפוש על אשכולות שכתב או על תגובות שנן...
אני מאמין שתמצאו שמה דיונים + שאלות על SEESION

2) SEESION שומר את הנתונים בצד-שרת...
ונותן בעויגה את הSEESION ID...
לנסות לעשות משהוא עם עוגיות זה מאוד מאוד קשהXD
(מרוב שכיחה מסוימת סטיתי לבנייה של זה וזה יצא גרועXD
יעני מנגנון של לשמור מידע בעוגיה וללכת על פיו => מאוד קל לזיוף!
עדיף SEESION

3) אם רוצים לעשות קוד אבטחה למשל המידע צריך להיות בשרת בSEESION...
כי רק ככה תוכל להבדיל בין המשתמשים...
אני שאלתי או שהגבתי באחד האשכולות וזאת בערך המסקנה...

לא יודע ,, אני אשיתי לא שומר תמידע שאני שומר בSEESION בDB
וטבלאות SEESION שמקושרות לDB עדין לא בניתי...
יש לי רק שהראות איך זה בערך אמור להיותXD...
אבל לפעמים זה בכלל לא נחוץ! זה הכלXD..

אתה ממש מטומטם

ציטוט:

במקור נכתב על ידי netaneldj אתה ממש מטומטם

תקרא כותרת ^^.....
תשמע אם הוא היה פותח תאשכול ב2 באפריל...
זה בסדר...XD הייתי מאמין לוXD
1 באפריל זה חשוד..
שנה שעברה גם עבדו עלינו (עלי לא) או לא זוכר מתי זה היה בדיוק...
אני מניח שישראל K פתח את האשכול והוא נפתח לדיון ממש רציני...

הקטע שעכשיו הפורום ניהיה יבש כזהXD לא כמו פעם וזה חבל...
מסתובבים פה הרבה מקצוענים\על רמה...
הוא הסתובבבו יותר בעברXD...

לא מדבר על אם הוא רציני או לא, התגובה שלך מטומטמת פשוט

ציטוט:

במקור נכתב על ידי netaneldj לא מדבר על אם הוא רציני או לא, התגובה שלך מטומטמת פשוט

אם תשמור את כל ההסברים לעצמך... אתה היחידי שתבין את עצמך...
ואף אחד לא יבין אותךXD
=> לא נעים במיוחד אני מניח...חחח...
אז למה? מטומטת כי...? (עכשיו תמשיך תמשפט... זה לא אמור להיות קשה)XD...

השתמשתי בעוגיות כי לפי דעתי הצלחתי לעשות משהו מספיק בטוח...חשבתי שכולם עושים ככה.

מה שעשיתי זה יצרתי HASH (להלן "צופן") עם MD5. הוא מיוחד למשתמש ספציפי שנכנס לשרת. הצופן, הוא היחידי שמוכנס לעוגיה, וב-DB אני מכניס את הצופן של המשתמש עם נתונים עליו (כמו - האם זה אורח או אחד מחברי המערכת = id ועוד...).
ככה אף אחד לא יכול לזייף את הצופן (כי הוא מכיל מרכיבים ייחודים למשתמש, כמו זמן כניסה ראשונית במיקרו-שניות, כתובת IP), אלא אם הוא גנב אותו באמצעות XSS.

זה לא מספיק בטוח?

ועמנואל - פעם חשבתי של-Session יש מנגנון פעולה אחר ממה שאני יודע כיום.

אז כן אני רציני בשאלה, אפשר בבקשה עצות?

ואתה רוצה להגיד לי, שכל פעם שמשתמש מעלה את העמוד מחדש, אתה סורק את כל הטבלה - ממיר אותה לMD5 ומשווה למה שהוא שלח?

מה פתאום.

בטבלה, נניח בטור שנקרא "SID", יש מחרוזות של MD5 שהן כמובן מחרוזות ה- Session ID.
מה שאני עושה זה שאילתא פשוטה:

קוד:

'SELECT * FROM sessions WHERE SID = '.$_COOKIE['SID']

ואז בעזרת פונקציית mysql_num_rows, לדוגמא, בודק אם הוחזרו תוצאות מהשאילתא.
אם הוחזרו - הסשן קיים.
אם לא - אני יוצר סשן חדש ו"מדביק" אותו למשתמש בעוגיה שלו (overwrite על הסשן הקיים אצלו).

וכן זה באמת נראה אמין ונכון...
אבל במקום מלל הייתי מעדיף שתפרסם מערכת קטנה שהיא האמא של הבסיס ...
של כל האלגוריתם הזה...XD...

בכל מקרה שימוש בSEESION יותר פשוט לפי דעתי...
אבל הרעיון שלך פשוט מעולה => שילוב DB וכו'...
מה שכן דוגמא בשטח תעזור לי יותר להבין על מה מדובר
ואם יש פה איזה פאק קטן ואפשר לגלות תSID במקרה הזה...

כבר עשיתי את זה...
חשבתי שכולכם משתמשים בשיטה הזאת. אני ממש מופתע שזה לא כך...

בנוגע לפרסום הקוד, אצטרך קודם לעבור עליו ולהתאים אותו לכולכם...אולי בע"ה אי"ה בלי נדר בעתיד.

זה בעצם מימוש ידני של ה Session של PHP... אז למה?

אם הייתי יודע שזה מתפקד אותו דבר כמו ה-Sessions של PHP, אז זה באמת היה נראה תמוה שאשתמש בזה ואעשה זאת כך.

אבל במחשבה שנייה, מכיוון שבכל מקרה אני רוצה טבלה שתכיל את כל ה-Sessions של המשתמשים ומידע עליהם, אז עדיף לפעול כך, כי בכל מקרה אצטרך להכניס מידע לטבלה במסד הנתונים.
יש אפשרות לקבל את כל המידע על כל המשתמשים דרך ה-Sessions של PHP? לפי מה שהבנתי, אפשר לקבל את המידע רק על המשתמש הספציפי שנכנס לאתר, כלומר רק על ה-Client היחיד ששולח את הבקשה לשרת, ואי-אפשר במקביל לקבל מידע על Clients אחרים.

מה דעתכם?
אתם חושבים שזה מיותר כל הפרוצדורה שכתבתי?
יש לכם עצות?

תודה רבה

זה לא מיותר, לפעמים זה גם יותר נוח, אבל יש עוד דרכים להעביר את השליטה אליך. לפי דעתי,עדיף להשתמש ב session_set_save_handler כדי לממש זאת.

תקרא קצת, אין לי כל כך כוח להסביר

אני משתמש בדרך הזאת, הסיבה העיקרית שאני לא משתמש ב- session_save_handler היא שאני נותן למשתמש אפשרות לבחור שהוא יזכור אותו, וזה הכל הופך להיות כבר לא נוח..

ועכשיו שאני חושב על זה, הכי נוח להשתמש רק בעוגייה ובמקרה שהמשתמש לא רוצה שיזכרו אותו, אז התפוגה של העוגייה תהייה 0.

את השיטה הזאת, אם אני לא טועה, דור הוא זה שהציג אותה בפורום,אבל אם זה מישהו אחר, סורי, כבודך במכומך מונך

אני לא רואה שוב בעייה בשיטה הזאת, להפך, הרעיון הזה חידש לי דרך לעשות את הדרכים יותר כלים, וזה לא משהו שקל לזייף. אם אתה רוצה מערכת ממש מאובטחת, שמור במסד נתונים גם את ה-IP של הגולש, ותרשה שהעוגייה תגיע רק ממחשב עם ה- IP הזה, הבעיה היא שכנראה תצטרך לוותר על "לזכור" את המשתמש, כי אם הוא מתנתק מהאינטרנט ומתחבר שוב, דבר שברוב המחשבים מחליף את ה- IP, אז ה-Log in שלו לא יתפוס

ציטוט:

אני משתמש בדרך הזאת, הסיבה העיקרית שאני לא משתמש ב- session_save_handler היא שאני נותן למשתמש אפשרות לבחור שהוא יזכור אותו, וזה הכל הופך להיות כבר לא נוח..

אבל הבנתי שעם session_save_handler אפשר לבצע את כל הדברים שרוצים לנוחות המתכנת.

ציטוט:

את השיטה הזאת, אם אני לא טועה, דור הוא זה שהציג אותה בפורום,אבל אם זה מישהו אחר, סורי, כבודך במכומך מונך

אפשר בבקשה קישור? אשמח לראות
אני זוכר שאת הדרך הזאת למדתי אחרי שריפרפתי על קובץ ה-functions.php של מערכת IPB המפורסמת...לא קראתי את כל הקוד של המחלקה (כי האמת הוא רב מבחינה כמותית) אבל איכשהו הבנתי שזאת הדרך (והנחתי שכך רוב המתכנתים עושים).

ציטוט:

אני לא רואה שוב בעייה בשיטה הזאת, להפך, הרעיון הזה חידש לי דרך לעשות את הדרכים יותר כלים, וזה לא משהו שקל לזייף. אם אתה רוצה מערכת ממש מאובטחת, שמור במסד נתונים גם את ה-IP של הגולש, ותרשה שהעוגייה תגיע רק ממחשב עם ה- IP הזה, הבעיה היא שכנראה תצטרך לוותר על "לזכור" את המשתמש, כי אם הוא מתנתק מהאינטרנט ומתחבר שוב, דבר שברוב המחשבים מחליף את ה- IP, אז ה-Log in שלו לא יתפוס

כמובן, זה מה שאני עושה
סביר להניח ש הרוב הגדול של המשתמשים לא יתנתקו מהאינטרנט בזמן גלישה באתר, ככה שזה לא אמור להפריע לכולם.
אבל אם משתמש מתנתק מהאינטרנט, זה נראה לי צודק לבקש הזדהות חוזרת.

התכוונתי לתקופות ארוכות שהמשתמש מחובר כמו מספר חודשים, לי יש ראוטר, אבל גם הוא מידי פעם מחליף את ה-IP, ובכלל, עם מחשבים שמותקן עליהם חייגן ונגיד שהם מכבים את המחשב שלהם כל יום, אז כל פעם שהם מחייגים הם מקבלים IP שונה.

כמובן אם מדובר בפרקי זמן קצרים, זאת לא בעיה..

לגבי session_save_handler.. לא יודע אני לא אוהב לעבוד עם פונקציות, בעיקר עם משהו כזה שמחלקה זה משהו שתפור עליו..