Witajcie, mam do Was moze nie zbyt wyrafinowane pytanie, ale chcialbym uzyskac tutaj pomoc, niz pozniej zle doinformowany pluc sobie w twarz. Poszukuje dobrego, bezpiecznego a zarazem nie tak bardzo skomplikowanego systemu sesji. To co znalazlem to po trochu jeszcze jest dla mnie nie zrozumiale, a chcialbym w pelni zrozumiec ten temat, zanim wporwadze to w zycie. Chetnie poczytalbym o tym cos wiecej: stosowanie, dzialanie itd. jakis bardziej rozbudowanych systemow, niestety ciezko mi cos znalezc w pl. Jesli jestescie zmeczeni i nie macie ochoty na dluzsze wypowiedzi, prosze o jakies konkrety, materialy, tutoriale bym mogl zaczac prace (edukacje )

Jestes zarejestrowany od 2,5 roku i jeszcze nie nauczyles sie sesji ?
Dam ci rade - kup/wyporzycz dobra księge o PHP i SQL taką 800str wzwyż i przeczytaj uwaznie przez 2 miesiace. Gwarantuje ze sie nauczysz nei tylko sesji.

Chyba sie zle zrozumielismy. Sam temat sesji jest przezemnie obeznany, jak rowniez stworzenie jakiegos prostego systemu sesji, ktory zabezpiecza sesje przed session fixation czy session hijacking. W moim rozumieniu mialem na mysli jakies rozbudowane systemy kontroli sesji i kontroli zalogowanego uzytkownika, tak by stworzyc bezpieczna www pod wzgledem autoryzacji uzytkownika. A gdyby taki system byl nadzbyt skomplikowany to prosilbym o jakies materialy, ktore pomoglyby mi rozgryzc owy system.

Zerknij do manuala i zobacz jakie dane o uzytkowniku otrzymuje serwer- na tej podstawie mozesz zbudowac autoryzacje uzytkownika.(np porownujac czy przypadkiem nie ma naraz 2 userow z taka sama sesja i ip, mozesz takze sprawdzac 'HTTP_REFERER'.. mozliwosci jest duzo ).
Jesli chcialbys jakies materialy- to proponuje sobie sciagnac i przeanalizowac gotowe systemy (np. CMS'y).

Pomysły reccesa - jak najbardziej.

• Dane sesji trzymaj albo w bazie () albo gdzieś poza globalnym /tmp.
• Razem z SID-em sprawdzaj również dane unikalne dla usera; nie tylko IP, ale również niektóre nagłówki, które przesyła przeglądarka, np. user-agent, system, wewnętrzne IP, jeśli gość takowe posiada.

Ale byłbym tu przeciwko HTTP_REFERER. Czasem firewalle blokują jego przesyłanie, często sami użytkownicy to robią. Poza tym, jaki problem podmienić? (wiem, tyczy się również user-agenta, ale to nie jest IMHO czynione na taka skalę, jak to się dzieje z refererem).

Stuprocentowego zabezpieczenia nie znajdziesz; dobrze by było jeszcze strony serwować przez SSL-a.

Witajcie, aktualnie powrocilem do skryptu w ktorym chcialbym wykorzystac system sesji. Rozwazalem Wasze podpowiedzi i rozumiem ze trzeba wraz z nadaniem SID'a zebrac kilka innych informacji by moc bardziej trafnie zidentyfikowac usera. Wszystko okej, ale po odswierzeniu strony, mam sprawdzac specjalne cookie w ktorym jest info o sesji i sprawdzic z zawartoscia bazy i jesli users jest dostep uzyskany?

Z drugiej strony znalazlem na necie, system ktory ktos stworzyl na potrzeby konkursu

http://www.theuntouchables.yoyo.pl/test/scSession-sopel.zip

Co sadzicie? Mozna tutaj zrobic cos takiego jak kontrole czasu jaka wazna jest sesja itd.?