у меня на сайте при авторизации используется стандартный метод session и в нее добавлена информация (логин, аватар, ид итп), сессия пишется в куки. Вопрос - это безопасно? и Вообще удобно? Просто я посмотрел на многих сайтах данные пишутся через параметр setcookies.. я думаю вы поняли о чем я =)
в куки пишется только идентификатор сессии. при чем если сессия таки сдохла, то и идентификатор побоку.
Не хочу создавать новую тему. Кто-нибудь в курсе, уже убрали баг с сессиями на "шаред" хостингах? Когда скрипты других пользователей сервера чистят папку /tmp (в случае если она общая) и удаляют сессии всех остальных пользователей. Помню была такая проблема, приходилось переносить сессии в другую папку. Не думаю, что новички об этом знают, но при этом не в курсе, пофиксена ли бага. Может кто подсказать?
Дабы также не создавать новый топик, хочу задавать вопрос, который давно мучает. Лучше сделать без сессий, в кукисах хранить логин/пароль или один хеш, и при каждом обновлении страницы сверять хеш с или логин/пароль с БД или всё же стартануть сессию и не обращаться к БД пока сессия живёт?
Ensiferum Я к БД не обращаюсь на протяжении всего сеанса, кроме каких-нибудь важных страниц. Например смена пароля, передача денег и прочее -- для этого ещё раз проверяю актуальность сессии.
небезопасно, т.к. эта информация в открытую отправляется пользователю. ИМХО, лучше пользоваться механизмом сессий
Ensiferum обращаться к бд или нет - вопрос филосовский. Ибо во время сессии все равно могут отнять права, удалить юзера, закрыть доступ. И по-хорошему надо сверяться с бд.
А я пишу сессии в MySQL. Сессии заводятся только авторизированным пользователям. Гостям и куки хватит =)
Я храню в кукисах кастомно зашифрованный id пользователя, а также идентификатор сессии (хеш). Сама сессия хранится в базе (да, это +1 запрос к базе). Скромно называю это "перегрузка сессии". )