sesje na bazie mysqli

pytanie zadane 26 lipca 2015 w SQL, bazy danych przez makoso Mądrala (7,380 p.)

Witam zwracam sięz pytaniem co sądzicie o systemie sesji wykorzystującym bazę danych do trzymania ip,przeglądarki,czasu ustawienie,i ważnego id usera posiadającego aktualnie tą sesje

chcę w ten sposób uniemożliwić możliwośc podkradnięcia sesji jak i posiadania kilku sesji przez jednego użytkownika.

w podstawowej sesji trzymałbym tylko id sesji ip przeglądarkę wszystko bd musiało się zgadzać z tym w bazie aby zwrócić id_usera

jak skończę to zamieszczę tutaj :)

co ogólnie sądzicie o takiej wersji jest bezpieczna w miarę czy nie?

1 odpowiedź

odpowiedź 26 lipca 2015 przez Comandeer Guru (602,360 p.)
wybrane 26 lipca 2015 przez makoso

Najlepsza

Po co w sesji po stronie klienta trzymać ip i przeglądarkę, skoro te informacje są słane przy każdym żądaniu?

A co z wydajnością? DB może być wąskim gardłem tutaj. Wszystko, co chcesz, można zrobić na natywnych sesjach. Zwłaszcza, że kilka sesji jednego usera i tak nie może być na jednym browserze. Bezpieczeństwo osiągniesz śląc ciasteczka z flagami http_only i secure

komentarz 26 lipca 2015 przez makoso Mądrala (7,380 p.)

session_set_cookie_params(3600, '/', $_SERVER['SERVER_NAME'], 0, 1);

czyli takie coś za działa? czy trzeba to dokładniej opisac? SECURE działa tylko z ssl chyba tak?

komentarz 26 lipca 2015 przez makoso Mądrala (7,380 p.)

inaczej chyba trzeba :)

w .htaccess

<IfModule php5_module>
               php_flag session.cookie_httponly on
</IfModule>

index.php

ini_set( 'session.cookie_httponly', 1 );
session_set_cookie_params(3600, 'onlylogin/', $_SERVER['SERVER_NAME'], 0, 1);
$session=new session_class();
$session->createSession();