PHP oturumları kurabiye gibi düzenlenebilir? Ya da host saklanan mi?
Veri sunucuda depolanan ise oturum anahtarı, müşterinin tarayıcısında saklanır.
Kullanıcı sunucudaki bir istekte bulunduğunda, kendi oturum anahtarı ağ üzerinden gönderilir ve kendi anahtarı ile ilişkili değerler sunucu üzerinde belirli oturum dosyadan alınır ve $ _SESSION üzerinden erişilebilir yapılır.
Anahtar ele eğer size (örneğin IP adresi,) kullanıcının bilgisayar / ağ bağlantısı için ilişkilendirmek oturumda belirli değerlere sahip olmalıdır neden olan, başka bir kullanıcının oturumuna sızmak mümkün olmuyor.
Onlar sunucuda depolanan gibi oturum verileri, kullanıcı tarafından düzenlenemez. Ancak kullanıcı, o daha önce vardı ne olursa olsun oturum verileri yeni bir oturum ve hendek başlayabilirsiniz. Ayrıca, bu tür oturum fiksasyonu gibi, portential security issues farkında olmalıdır.
Konak dikkatli değilse genellikle bir web sunucusunun / tmp dizininde depolanır. Bu session_save_path(), ben oturumlarını kullanmak benim PHP uygulamaları, tüm yapmak bir şey ile değiştirilebilir.
Bu aşağıda gibi çalışır:
SID veya Oturum kimliği göndererek, sayfa ister.session_save_path() içinde çerez dosyaları bulur ve dizi unserializesNe yazık ki, müşteri bildiği tek şey oturumun kimliği, ama bu çerez hırsızlarını, ya da diğer Cross Site Scripting yöntemler kullanılarak, örneğin kaçırıldı olabilir. Ben, örneğin, SO oturum var, SO ben sen olduğunu daha iyi bilemeyiz eğer. Onlar da benim IP veya böyle bir şey kontrol sürece.