SESSIONI vs COOKIES..che differenze ci sono?

[lionalex]

Forse mi prenderete per pazzo, ma volevo sapere le differenze tra una SESSIONE e l'utilizzo dei COOKIES?! In pratica se io apro una sessione viene creato un file dove si memorizzano tutte le variabili che voglio. Mentre se creo un cookie viene creato un file dove si memorizzano tutte le variabili che voglio! MA NON E' LA STESSA COSA????? Chi mi può aiutare?

[marcio]

Se chiudi il browser le sessioni non valgono +

[heracleum]

Sì cioè, la differenza fondamentale è:
- cookies: sono dati salvati permanentemente in locale sul tuo harddisk (a meno che non scadano o non vengano ripuliti da te);
- session: i dati nelle variabili di sessione hanno validità solo all'interno di una sessione, se la sessione scade (timeout) o viene chiusa dall'utente i valori delle variabili di sessione vengono persi a meno che non vengano salvati in un file sul server, in un record MySQL. Lo sviluppatore web non ha bisogno di sapere dove fisicamente risiedono i dati sul server in sessione attiva.

Molti sistemi di gestione utenti utilizzano cookies e session INSIEME, per sfruttare i vantaggi di entrambi, a meno che l'utente non abbia il browser impostato in modo da rifiutare i cookies.
Per es. quando in un Login vedi un'opzione tipo "Entra automaticamente in futuro" (come qui nel forum per esempio) vuol dire che vengono sfruttati ANCHE i cookies, se li hai disabilitati invece devi ogni volta reinserire il login per accedere alla sessione.

Spero di essere stato chiaro

[lionalex]

Si, sei stato molto chiaro. Grazie mille per la spiegazione. Volevo sapere un altra cosa. Mettiamo caso che faccia un'area riservata. Dovrei scrivere una cosa del genere

[code:1:2957cad3b3]<?if (($_SESSION['user']=="usernam e") and ($_SESSION['pw'?>]=="password& quot;))
{?>
<codice html riservato>
<?
}
else{
?>
<COSA DEVO METTERE QUI?>
<?
}
?>[/code:1:2957cad3b3]

Cosa devo scrivere nell'else se volessi rimandarlo alla pagina del login?(sempre se è corretto quello che ho scritto)

[Ospite]

<?if (($_SESSION['user']=="username") and ($_SESSION['pw'?>]=="password"))
{
echo "<htm><body>codice html riservato</body></html>";
}
else{
Header("Location: login.php");
}
?>

non devi aver inviato già prima del codice html però... altrimenti cambia Header("Location: login.php");
con
echo "<script language=javascript>location.href='login.php';& lt;/script>";

cmq quello script va bene solo se c'è solo un username e una password...

[Evcz]

un'altra piccola nota Cookies VS sessioni...

i cookies sono SEMPRE da considerarsi come variabili inviate dall'utente... bisogna quindi sempre fare tutti i controlli possibili sul contenuto... mai fidarsi dell'utente (mysql iniectjon rulez )

le sessioni invece non possono essere modificate dall'utente e quindi si possono trattare con "+ tranquillità"

i cookies sono SEMPRE da considerarsi come variabili inviate dall'utente... bisogna quindi sempre fare tutti i controlli possibili sul contenuto... mai fidarsi dell'utente (mysql iniectjon rulez )

con i cookies e' piu' inline javascript che sql injection.... :D

cmq in linea di massima conviene usare sia le sessioni che i cookie, perche' se un utente ha i cookies disabilitati (basta avere un firewall o un plugin apposito settati in questo modo, per cui non e' cosi' difficile) ci deve essere un modo alternativo
per questo motivo si dovrebbe scrivere ogni link riportando l'id della sessione corrente (tipo pagdellasessione.php?s=123456789, dove 123456789 e' il session id, che sta in una variabile chiamata $sessionid o qualcosa di simile, non ricordo :D)

[Evcz]

i cookies sono SEMPRE da considerarsi come variabili inviate dall'utente... bisogna quindi sempre fare tutti i controlli possibili sul contenuto... mai fidarsi dell'utente (mysql iniectjon rulez )

con i cookies e' piu' inline javascript che sql injection.... :D

dipende come li usi... c'è per esempio gente (molta... troppa ) che legge le variabili salvate dentro ai cookies e le manda direttamente in una query sql senza porsi il minimo dubbio (pensa al caso in cui confronti un username salvato nel cookie cercandolo nel database :x )....

+ injection di quello non c'è

i cookies sono SEMPRE da considerarsi come variabili inviate dall'utente... bisogna quindi sempre fare tutti i controlli possibili sul contenuto... mai fidarsi dell'utente (mysql iniectjon rulez )

con i cookies e' piu' inline javascript che sql injection.... :D

dipende come li usi... c'è per esempio gente (molta... troppa ) che legge le variabili salvate dentro ai cookies e le manda direttamente in una query sql senza porsi il minimo dubbio (pensa al caso in cui confronti un username salvato nel cookie cercandolo nel database :x )....

+ injection di quello non c'è

noooo
ancora c'e' gente che fa di ste cose?
non usano tutti i cms ormai?

[marcio]

i cookies sono SEMPRE da considerarsi come variabili inviate dall'utente... bisogna quindi sempre fare tutti i controlli possibili sul contenuto... mai fidarsi dell'utente (mysql iniectjon rulez )

con i cookies e' piu' inline javascript che sql injection.... :D

quoto

cmq per il problema di redirezione basta mettere
session_start();

subito dopo <?

i cookies sono SEMPRE da considerarsi come variabili inviate dall'utente... bisogna quindi sempre fare tutti i controlli possibili sul contenuto... mai fidarsi dell'utente (mysql iniectjon rulez )

con i cookies e' piu' inline javascript che sql injection.... :D

quoto

grazie dell'appoggio :P :D

[marcio]

i cookies sono SEMPRE da considerarsi come variabili inviate dall'utente... bisogna quindi sempre fare tutti i controlli possibili sul contenuto... mai fidarsi dell'utente (mysql iniectjon rulez )

con i cookies e' piu' inline javascript che sql injection.... :D

quoto

grazie dell'appoggio :P :D

si,non capita molto spesso di mettere in una query il valore di un cookie (credo) però basta un javascript:void(document.cookie='... e cambi il cookie

[heracleum]

dipende come li usi... c'è per esempio gente (molta... troppa ) che legge le variabili salvate dentro ai cookies e le manda direttamente in una query sql senza porsi il minimo dubbio (pensa al caso in cui confronti un username salvato nel cookie cercandolo nel database :x )....

uhmm scusa..
cioè, al di là di eventuali fini spam, qual è il rischio di questo esempio preciso? (o anche di altri casi)
confronti uno username trovato in un cookie... ok, non viene trovato nel db e stop.. non capisco il fine malizioso...
(e se non seguo io che "dovrei" pensa se riesce a capire chi è a digiuno )
calcola comunque che di fenomeni "injection" ancora non mi sono mai informato, se è proprio così lampante, mea culpa!

[marcio]

dipende come li usi... c'è per esempio gente (molta... troppa ) che legge le variabili salvate dentro ai cookies e le manda direttamente in una query sql senza porsi il minimo dubbio (pensa al caso in cui confronti un username salvato nel cookie cercandolo nel database :x )....

uhmm scusa..
cioè, al di là di eventuali fini spam, qual è il rischio di questo esempio preciso? (o anche di altri casi)
confronti uno username trovato in un cookie... ok, non viene trovato nel db e stop.. non capisco il fine malizioso...
(e se non seguo io che "dovrei" pensa se riesce a capire chi è a digiuno )
calcola comunque che di fenomeni "injection" ancora non mi sono mai informato, se è proprio così lampante, mea culpa!

prova ad inserire come user e pass ' OR '1'='1 , la query diventa vera e restiutisce il primo valore della tabella (di solito l'admin) questo problema si sente sopratutto con l'asp

[Evcz]

i cookies sono SEMPRE da considerarsi come variabili inviate dall'utente... bisogna quindi sempre fare tutti i controlli possibili sul contenuto... mai fidarsi dell'utente (mysql iniectjon rulez )

con i cookies e' piu' inline javascript che sql injection.... :D

dipende come li usi... c'è per esempio gente (molta... troppa ) che legge le variabili salvate dentro ai cookies e le manda direttamente in una query sql senza porsi il minimo dubbio (pensa al caso in cui confronti un username salvato nel cookie cercandolo nel database :x )....

+ injection di quello non c'è

noooo
ancora c'e' gente che fa di ste cose?
non usano tutti i cms ormai?

guarda... ne era afflitto pure phpnuke fino a poco tempo fa

per quanto riguarda gli attacchi sono sicuro che molti non fanno nemmeno il controllo "anti union"..... così si può passare addirittura una query nuova del tipo "... UNION update tabella set id='0' where id!='0'..." ed in questo modo ti "rovinano" la tabella utenti

cmq il valore dei cookies si usa spesso nelle query...

di solito nei cookies si salvano username e pass (in md5) e quando si carica si fa il controllo cercando l'username nel database e confrontando la pass...

[heracleum]

Ma pensa te!
Se solo alcuni utilizzassero l'ingegno per cose utili sarebbe un posto ancora migliore il web 8)

[lionalex]

cmq per il problema di redirezione basta mettere
session_start();

subito dopo <?

Cosa significa che basta mettere SESSION_START()????Come funziona questo comando?
Comunque dalle vostre spiegazione ergo che è meglio usare le SESSIONI ed evitare i COOKIES?GIUSTO??!