вот задался тут вопросом как себя ведут сессии в пределах одного сервера. предположим есть сервер, на нем несколько разных сайтов. для пользователя который зашел на все сайты будет создано соответствующее кол-во сессий или все в одну объединится?
Ganzal Никакой проверки в стандартном механизме сессий нет. Т.е. если ты передаешь ID через URL, и этот ID случайно попал в URL другого сайта на этом же сервере, то данные сессии будут подхвачены и использованы этим другим сайтом. Также нет проверки на IP, т.е. злоумышленник, украв ID сессии, может зайти под ней с другого IP адреса.
Dagdamor то есть если я хочу чтобы пользователи имели "общую" сессию на нескольких сайтах лучше написать свой обработчик? По каким измерениям лучше идентифицировать сессию? IP, Браузер. Что еще?
а если юзать стандартные сессии в пределах сайта и дописать обработчик который будет объединять несколько сайтов для пользователя?