Если пользователь нажал галку "запомнить меня" и свалил, то через месяц мы должны залогинить его. Если программист не может обеспечить безопасность токена в куке, значит нужно ему оторвать руки и приклееть к другому месту.
и что вы называете "стандартным функционалом PHP" в плане авторизации? сейчас наступит катарсис: либо мы узнаем что-то, либо вы признаете, что сказали чушь.
Эта кнопка для лентяев. Защиты нет и не будет. Тот кто этим данными со стороны завладеет без труда сможет войти в аккаунт. И усираться в защите кук, по которым происходит вход, глупо.
Глупо это игнорировать. Если привязать токен к набору данных о компьютере и IP адресу, можно практически исключить возможность того, что кто то сможет воспользоваться информацией из кук.
вы просто не отвечаете за свои слова, сударь Добавлено спустя 11 минут: оффтопик: здесь на форуме есть фишка "добавить в недруги". звучит недобро, зато работает отлично! фактически это игнор-лист. в профиле пользователя кликаем "добавить в недруги", после чего все сообщения данного пользователя окажутся свернутыми как бы под спойлер. помогает сберечь нервы.
Выше уже написал, что не понял как это использовать. Незачем повторять. А ты типо местный гопник или просто недалекий? Все поняли что я имел ввиду. Один ты решил придраться к словам.
Да вроде уже выяснили, что сессии не для этого придуманы. Вы вообще читали тему прежде чем писать ответ?
да. я тоже считаю, что сессии не для того. но например когда работаю над проектом на локалке то вполне могу поставить время жизни сессии в районе нескольких лет. если оно вашу задачу решает ну и вперед. только есть опасность, что будет забит диск кучей файлов от сессий.
может быть. смотря какой хостинг. файл не может занимать меньше одного блока файловой системы. + бывают ограничения непосредственно на число файлов. ну и тд и тп.
Я дальше больше скажу. В моей практике я уже сталкивался именно с такой ситуацией. Лет 5 назад из-за ошибки в скрипте кончились ноды на диске выделенного сервака, т.е. в директории скопилось многомиллионов сессионных файлов. Правда там количество обращений к скрипту было огромное.
Механизм сессий и так очень хорош в PHP. Сессии просто должны быть сессиями. Браузер закрыли, сессия удалилась. Уже все сказали раз 5. Если нужно сохранять аунтификацию на долго, то в помощь куки и ваша база данных. Генерите токен, сохраняете в базу с привязкой к юзеру, ставите куку с этим токеном на нужное время. Можете привязать токен к IP адресу или уникальному набору данных о компьютере, чтобы никто не утащил и т.д.
Пока что понял одно, файлами данные хранить не удобно (занимает больше одного блока), поэтому надо хранить в базе. Есть еще причины?
ой, беда =) ты всё неправильно понял. файлы хранить файлами - хорошо в базе данных надо хранить данные. сессии не должны быть длинными - делай куку "запомнить меня" ок?
Верю что это правда. Поэтому и начал делать все через куки и базу, как тут советовали. Но хотелось бы понять почему, кто это решил, почему лишают меня выбора?
дык я ж объяснил почему. если к тебе ходят только "свои" то делай чо хочешь. если все подряд - они под каждого будут делаться.
Выбор то как раз огромен. Если хотите продлевайте время жизни сессий. Вам тут просто говорят как сделать ПРАВИЛЬНО.