session_start и последующие $_SESSION['var'] = value уникальны для каждого сайта? Или может возникнуть конфликт имён переменных 'var'?
если все сессиих хранятся в одном месте, то можно исходить из того, что сессия привязана к идентификатору.
Уникальны для каждого session_id даже в рамках одного сайта. В этом и фишка. Каждый раз session_start(), если она не находит куки с id сессии, создаёт новый сессионный файл (если стандартный механизм сессий не переопределялся, конечно). Если кука находится, открывается старый файл. Ну это так, упрощённо.
про сайты стоит уточнить, что пхп работает как пхп, а не как сайт. Т.е. на одном хостинге может быть несколько сайтов. Но если вдруг они работают с одним и тем же путём хранения сессий, то можно накуралесить.
Нет, нельзя. Вероятность этого такая же, как вероятность, что ты руками сходу подберешь вслепую идентификатор чужой сессии с первой попытки. Сессия только в рамках одного домена существует. У тебя может быть хоть тысяча доменов на одном сервере и все равно хрен ты словишь пересечение сессий.
вероятность подразумевает возможность случайно, но получить результат и можно накуралесить нарочно, а не случайно =)
С тем же успехом можно очковать, что php выдаст двум пользователям одну сессию одновременно. Ну в таком разрезе вообще лучше к серверу не прикасаться. Никогда. И не кодить ничего. А то мало ли, захочется специально накуролесить всякое)
Нет, не можешь. Сессия завязана на cookie, cookie завязаны на домене. Даже если юзается один движок, но запросы приходят для разных доменов, сессии будут изолированы.
не я беру идентификатор сессии твоего сайта на моем сайте, если сессии хранятся в той же папке, то я могу куралесить.
и если криворукий админ хреново настроил это дело так, что все сессии в одной папке живут. Но это уже не встречается.
Ды даже если все сессии в одной папке, ты не накуролесишь же, ну Объясни механизм. Это так не работает. Я уже писал о коллизиях сессий и их вероятности. Вероятность того, что дождь из жаб пойдет раз в сто выше. С тем же успехом, повторюсь, можно опасаться того, что на высокопосещаемом сайте тебе выдадут идентификатор сессии другого пользователя. Но это не случается. Я про подобное слышал лишь один раз - когда Badoo обосрались, когда переносили механизм сессий на мемкеш. В какой-то момент у них пошел глюк и всех начало логинить не с свою учетку, а в ту, что в следующей ячейке в памяти мемкеша. Но и то, виноваты были кривые руки тех, кто пилил механизм, а не пыховый генератор SSID
забей, ты не понимаешь видимо, что я говорю, потому что не хочешь =) я просто одно и то же пишу. Если у двух разных юзеров одного хостинга есть сайты, но папка с сессиями общая, им не надо угадывать идентификатор. Они просто зайдут друг к другу, получат идентификаторы, а потом, имея доступ к хранилищу сессий, они смогут конкретно свои сессии подправить и вообще смогут там шерудить, как им заблагорассудится. Это не вероятностный процесс. Это плохая настройка.
Вот так и надо было написать сразу То, что ты именно это имел ввиду, было нифига не очевидно из того, что ты говорил.