Sesja w PHP - parę pytanek c:

pytanie zadane 10 czerwca 2018 w PHP przez Q7V Gaduła (4,250 p.)

Cześć, stworzyłem sobie prosty formularz logowania i rejestracji. Teraz mam zamiar stworzyć różne możliwości dla zalogowanych użytkowników m.in. wylogowanie się, dodawanie treści itp.

Do tego celu operuję na zmiennych sesyjnych i tu rodzi się pierwsze pytanko - czy można jakoś obserwować ich wartości bez konieczności ich wypisywania? W sensie - są one gdzieś przechowywane na serwerze?

Drugie pytanko c: Ile domyślnie trwa sesja i czy tą wartość można modyfikować?

i... stosowania mechanizmu sesji jest w ogóle dobrym rozwiązaniem? Są ciasteczka, ale obsługiwane są z poziomu użytkownika i to na pewno jest groźne. :P

i czy sesja jest dla danego adresu IP? Bo używając trybu prywatnego w firefoxie - moja strona działa tak jakby sesja się zachowała i formularz logowania nie wyświetla się gdy zmienna sesyjna przybiera wartość 1 - nie wiem czy zrobiłem błąd i dlatego się nie wyświetla czy tak działa sesja. :D

3 odpowiedzi

odpowiedź 10 czerwca 2018 przez Arkadiusz Waluk Ekspert (287,950 p.)

W sensie - są one gdzieś przechowywane na serwerze?

Tak, są to pliki na serwerze. Domyślnie chyba są w katalogach tymczasowych systemu, lokalizacje można zmienić ustawieniem w php.ini. Jednak ręczne grzebanie w nich jest bez sensu, całą obsługę masz w kodzie. A jeśli czegoś Ci brakuje to może znak, że sam wbudowany mechanizm sesji to w Twoim przypadku za mało.

Drugie pytanko c: Ile domyślnie trwa sesja i czy tą wartość można modyfikować?

Domyślnie 24 minuty, można modyfikować poprzez ustawienia w php.ini czy funkcje jak session_set_cookie_params().

stosowania mechanizmu sesji jest w ogóle dobrym rozwiązaniem?

To zależy do czego, ale ogólnie tak, nie jest to jakieś rozwiązanie niebezpieczne, sesje są powszechnie stosowane.

Są ciasteczka, ale obsługiwane są z poziomu użytkownika i to na pewno jest groźne. :P

Sesja też zostawia ciasteczko po stronie użytkownika ze swoim id. Tyle że nie ma tam danych, te na podstawie id z ciasteczka trzymane są już po stronie serwera. Jak mówiłem: zależy, tam gdzie klient nie może czegoś modyfikować trzeba to trzymać po stronie serwera i wtedy użyć np. sesji.

i czy sesja jest dla danego adresu IP?

Nie, jest oczywiście dla danego klienta - każdy dostaje swoje ciasteczko z id sesji i na tej podstawie jest identyfikowany. Gdyby było po IP to byłaby niezła zabawa zważając na to, że pod jednym zewnętrznym IP może się kryć w zasadzie dowolna liczba klientów :P

komentarz 10 czerwca 2018 przez Q7V Gaduła (4,250 p.)

A czy odświeżając stronę czas trwania sesji liczy się od nowa? c:

Dziękuje za bardzo rozbudowaną odpowiedź, to miłe że komuś chcę się pomagać. :)

komentarz 10 czerwca 2018 przez Arkadiusz Waluk Ekspert (287,950 p.)

Nie, przy odświeżeniu nie powinien się liczyć od nowa. Można to ręcznie wymusić ustawiając od nowa ciasteczko z nową ważnością.

odpowiedź 10 czerwca 2018 przez Comandeer Guru (600,330 p.)

W sensie - są one gdzieś przechowywane na serwerze?

Tak, są.

Drugie pytanko c: Ile domyślnie trwa sesja i czy tą wartość można modyfikować?

Można. Ta zmienna konfiguracyjna zawiera również aktualny czas trwania sesji.

... stosowania mechanizmu sesji jest w ogóle dobrym rozwiązaniem? Są ciasteczka, ale obsługiwane są z poziomu użytkownika i to na pewno jest groźne. :P

Ale mechanizm sesji też się opiera na ciastkach. Z tym, że w ciastku przechowuje jedynie identyfikator sesji, a całą resztę danych – na serwerze. Nic nie stoi na przeszkodzie, by w taki sam sposób zaimplementować własny mechanizm sesji.

odpowiedź 10 czerwca 2018 przez Mariusz08 Maniak (62,300 p.)

Do tego celu operuję na zmiennych sesyjnych

Mam nadzieję, że w sesji przechowujesz tylko te najważniejsze rzeczy (bez żadnych flag logged, nicku itp.)

czy można jakoś obserwować ich wartości bez konieczności ich wypisywania?

$userId = $_SESSION['userId'];

Tak.

Ile domyślnie trwa sesja i czy tą wartość można modyfikować?

Nie pamiętam ile dokładnie, domyślnie trwa sesja, ale tą wartość można modyfikować w pliku php.ini

stosowania mechanizmu sesji jest w ogóle dobrym rozwiązaniem?

Jest dobrym rozwiązaniem.

Bo używając trybu prywatnego w firefoxie - moja strona działa tak jakby sesja się zachowała i formularz logowania nie wyświetla się gdy zmienna sesyjna przybiera wartość 1 - nie wiem czy zrobiłem błąd i dlatego się nie wyświetla czy tak działa sesja. :D

Nie wiem jak jest w FF, ale w Chrome jak wejdę w tryb incognito to nie jestem nigdzie zalogowany (żadne google, youtuby, ani fora) więc chyba jakiś błąd FF.