С чем едят сессии

Тема в разделе "PHP", создана пользователем LEXAlForpostl, 14 ноя 2011.

Модераторы: latteo
  1. LEXAlForpostl

    LEXAlForpostl

    Регистр.:
    21 май 2008
    Сообщения:
    739
    Симпатии:
    226
    Здравствуйте.
    Почитал матчасть про сессии.
    Единственное не понял, можно ли получить значение сессии на стороне клиента. В одном из источников говорилось, что данные шифруются. Но если можно будет дешифровать данные, то тогда при авторизации надо передавать не ID юзера, как это было показано в одном из примеров, а какое-то секретное слово, которое брать из БД. Но тогда при каждом запросе надо делать +1 запрос к БД? Не очень оптимально. Может быть есть ещё какие-либо варианты?
     
  2. fpinger

    fpinger

    Регистр.:
    11 май 2007
    Сообщения:
    253
    Симпатии:
    58
    Данные сессии хранятся на стороне сервера и по умолчанию в виде файла. Откуда у вас в "прочитанной матчасти" взялась БД?
     
  3. LEXAlForpostl

    LEXAlForpostl

    Регистр.:
    21 май 2008
    Сообщения:
    739
    Симпатии:
    226
    При передаче сессии клиенту, клиент может отредактировать данные?
    Если я ему передам ID юзера, он напишет вместо своего, например, 1 и это будет айди администратора, злоумышленник получит доступ к сайту. Или я не правильно мыслю?

    Пример с БД - это мои размышления по поводу того, как недопустить того, чтобы злоумышленник не выдавал себя за другого человека.
     
  4. fpinger

    fpinger

    Регистр.:
    11 май 2007
    Сообщения:
    253
    Симпатии:
    58
    Клиенту передаётся идентификатор сессии.
    Данные хранятся на стороне сервера.
    Можно попытаться на стороне клиента подменить идентификатор сессии, но для этого нужно знать таковой для того, чьи права хочешь получить (грубо говоря ты подменяешь чужой браузер и попадаешь в контекст другого пользователя). Это не так просто. В любом случае перебор не вариант. Кроме того на стороне сервера ещё может отслеживаться соответствие IP и идентификатора сессии. Но это не штатными средствами сессии.
     
    LEXAlForpostl нравится это.