вот интересно на основе чего делается SID? это хеш чего-то, или просто по rand как-то генериться? учитывается ли изменение IP? каких-то заголовков запроса? сильно не бейте может хоть ссылки дадите. Просто было бы прикольно заставлять пользователя снова пройти авторизацию если изменился IP, заголовок браузера, изменение заголовков связанных с прокси ну и еще что-то может.
http://php.net/session_set_save_handler - и сохраняй сессию как тебе душа пожелает. P.S. Читал где-то, что сессию нельзя подделать. Сам id генерируется через сложную систему дырка которой только на выходе: id-то не очень длинный. Или типа того там было написано. Блин. Линк не могу найти.
Ruzzz К сожалению нет (и это одна из причин, по которой никогда не пользуюсь стандартными сессиями в ПХП). Достаточно узнать SID и можно зайти под ним откуда угодно.
Ruzzz По-моему, в явном виде нигде не написано, но если ты посмотришь на содержимое файлов с сессиями, которые создает PHP, ты не увидишь там ни IP, ни юзер-агента - только сами сессионные данные. Там даже даты последней активности сессии нет - но ее, как я понимаю, PHP просто берет из даты изменения файла. А раз эти данные нигде не хранятся, значит, и проверку на них сделать нельзя.
Но как работает сам алгоритм генерации SID? вот это хотелось бы почитать. Может он деалет хеш на основе данных например того же IP? ну вообщем я только начал изучать работу с сессиями буду щас проверять, от чего сессия "обрывается" а от чего нет!
Понял! Жаль А мне вот как новичку это сразу как-то таким очевидным показалось, почему же разработчики не обратили на это внимание, хотя бы опционально добавили что-ли. Может все таки есть что то помогающее?
http://www.php.net/manual/ru/ref.session.php http://www.php.net/manual/ru/ref.outcontrol.php особенно это понравилось http://www.php.net/manual/ru/function.o ... te-var.php вот все это изучу и начну реализовывать а может еще и вы поможете?
У меня раньше сид вот так генерировался: PHP: <?php $this->SID = md5(uniqid(NULL, true)); Сейчас у меня более навороченная система которая учитывает IP и User_agent. При этом IP и User_agent проверяются и в другом месте отдельно.