Printable View
Forse mi prenderete per pazzo, ma volevo sapere le differenze tra una SESSIONE e l'utilizzo dei COOKIES?! In pratica se io apro una sessione viene creato un file dove si memorizzano tutte le variabili che voglio. Mentre se creo un cookie viene creato un file dove si memorizzano tutte le variabili che voglio! MA NON E' LA STESSA COSA????? Chi mi può aiutare?
Se chiudi il browser le sessioni non valgono + :wink:
Sì cioè, la differenza fondamentale è:
- cookies: sono dati salvati permanentemente in locale sul tuo harddisk (a meno che non scadano o non vengano ripuliti da te);
- session: i dati nelle variabili di sessione hanno validità solo all'interno di una sessione, se la sessione scade (timeout) o viene chiusa dall'utente i valori delle variabili di sessione vengono persi a meno che non vengano salvati in un file sul server, in un record MySQL. Lo sviluppatore web non ha bisogno di sapere dove fisicamente risiedono i dati sul server in sessione attiva.
Molti sistemi di gestione utenti utilizzano cookies e session INSIEME, per sfruttare i vantaggi di entrambi, a meno che l'utente non abbia il browser impostato in modo da rifiutare i cookies.
Per es. quando in un Login vedi un'opzione tipo "Entra automaticamente in futuro" (come qui nel forum per esempio) vuol dire che vengono sfruttati ANCHE i cookies, se li hai disabilitati invece devi ogni volta reinserire il login per accedere alla sessione.
Spero di essere stato chiaro :wink:
Si, sei stato molto chiaro. Grazie mille per la spiegazione. Volevo sapere un altra cosa. Mettiamo caso che faccia un'area riservata. Dovrei scrivere una cosa del genere
[code:1:2957cad3b3]<?if (($_SESSION['user']=="usernam e") and ($_SESSION['pw'?>]=="password& quot;))
{?>
<codice html riservato>
<?
}
else{
?>
<COSA DEVO METTERE QUI?>
<?
}
?>[/code:1:2957cad3b3]
Cosa devo scrivere nell'else se volessi rimandarlo alla pagina del login?(sempre se è corretto quello che ho scritto)
<?if (($_SESSION['user']=="username") and ($_SESSION['pw'?>]=="password"))
{
echo "<htm><body>codice html riservato</body></html>";
}
else{
Header("Location: login.php");
}
?>
non devi aver inviato già prima del codice html però... altrimenti cambia Header("Location: login.php");
con
echo "<script language=javascript>location.href='login.php';& lt;/script>";
cmq quello script va bene solo se c'è solo un username e una password...
un'altra piccola nota Cookies VS sessioni...
i cookies sono SEMPRE da considerarsi come variabili inviate dall'utente... bisogna quindi sempre fare tutti i controlli possibili sul contenuto... mai fidarsi dell'utente :wink: (mysql iniectjon rulez :wink: )
le sessioni invece non possono essere modificate dall'utente e quindi si possono trattare con "+ tranquillità" :wink:
con i cookies e' piu' inline javascript che sql injection.... :D:mrgreen:Citazione:
Originalmente inviato da Evcz
cmq in linea di massima conviene usare sia le sessioni che i cookie, perche' se un utente ha i cookies disabilitati (basta avere un firewall o un plugin apposito settati in questo modo, per cui non e' cosi' difficile) ci deve essere un modo alternativo
per questo motivo si dovrebbe scrivere ogni link riportando l'id della sessione corrente (tipo pagdellasessione.php?s=123456789, dove 123456789 e' il session id, che sta in una variabile chiamata $sessionid o qualcosa di simile, non ricordo :D)
dipende come li usi... c'è per esempio gente (molta... troppa :lol: ) che legge le variabili salvate dentro ai cookies e le manda direttamente in una query sql senza porsi il minimo dubbio (pensa al caso in cui confronti un username salvato nel cookie cercandolo nel database :x )....Citazione:
Originalmente inviato da dxblade
+ injection di quello non c'è :lol:
nooooCitazione:
Originalmente inviato da Evcz
ancora c'e' gente che fa di ste cose?
non usano tutti i cms ormai?
:lol::mrgreen::twisted:
quoto :wink:Citazione:
Originalmente inviato da dxblade
cmq per il problema di redirezione basta mettere
session_start();
subito dopo <? :wink: :wink:
grazie dell'appoggio :P :D :lol:Citazione:
Originalmente inviato da marcio
si,non capita molto spesso di mettere in una query il valore di un cookie (credo) però basta un javascript:void(document.cookie='... e cambi il cookie :wink:Citazione:
Originalmente inviato da dxblade
uhmm scusa..Citazione:
Originalmente inviato da Evcz
cioè, al di là di eventuali fini spam, qual è il rischio di questo esempio preciso? (o anche di altri casi)
confronti uno username trovato in un cookie... ok, non viene trovato nel db e stop.. non capisco il fine malizioso...
(e se non seguo io che "dovrei" pensa se riesce a capire chi è a digiuno :wink: )
calcola comunque che di fenomeni "injection" ancora non mi sono mai informato, se è proprio così lampante, mea culpa! :oops:
Citazione:
Originalmente inviato da heracleum
:!: :!: :!: :!:
prova ad inserire come user e pass ' OR '1'='1 , la query diventa vera e restiutisce il primo valore della tabella (di solito l'admin) questo problema si sente sopratutto con l'asp :wink:
guarda... ne era afflitto pure phpnuke fino a poco tempo fa :lol: :wink:Citazione:
Originalmente inviato da dxblade
per quanto riguarda gli attacchi sono sicuro che molti non fanno nemmeno il controllo "anti union"..... così si può passare addirittura una query nuova del tipo "... UNION update tabella set id='0' where id!='0'..." ed in questo modo ti "rovinano" la tabella utenti :wink:
cmq il valore dei cookies si usa spesso nelle query...
di solito nei cookies si salvano username e pass (in md5) e quando si carica si fa il controllo cercando l'username nel database e confrontando la pass... :wink:
Ma pensa te!
Se solo alcuni utilizzassero l'ingegno per cose utili sarebbe un posto ancora migliore il web 8)
Cosa significa che basta mettere SESSION_START()????Come funziona questo comando?Citazione:
Originalmente inviato da marcio
Comunque dalle vostre spiegazione ergo che è meglio usare le SESSIONI ed evitare i COOKIES?GIUSTO??!