ZooY
Зарегистрирован: 15.01.2002 Сообщения: 210 Откуда: Россия, Москва
|
Добавлено: Ср Июн 23 2004 12:45 Заголовок сообщения: Мысли про сессии, поправьте если я неправ... |
|
|
У меня есть несколько мысле по поводу сессий в PHP, поправьте меня пожалуйста, если я в чем-то буду неправ...
Идентификатор сессии хранится у клиента или в виде куки или дописывается к URL (это зависит от конфигурации PHP). Таким образом если ID сессии хранится в куки, а у клиента отключены куки, то и с сессией этот клиент работать не сможет.
Все переменные, зарегистрированные в сессии хранятся на сервере. Обычный способ храрения состояния сессий - это файл - один на каждую сессию (это если параметр session.save_handler=files). Если этот параметр равен user, тогда в php-коде можно переопределить правила работы с сессиями с помошью session_set_save_handler(). Остается непонятным один момент. Если session.save_handler=user, но не переопределена работа с сессиями они по прежнему будут сохранятся в файл (как при значении files)?
Сессия заканчивается либо по истечении ее срока жизни, либо порсе "перезагрузки обозревателя", как написано в php.ini. Вот тут тоже несовсем понятно, что значит после перезагрузки, тоесть если я просто закрою обозреватель - то сессия останется чтоли, и только при следующем старте обозревателя удаситься. И еще, удаление куки у клиента я понимаю, но как удаляется сессия на стороне сервера?
Для пользователя создана сессия. Некий злоумышленник перехватил номер сессии пользователя, заходит на сервер, сервер смотрит, что у него есть номер сессии, и такая сессия есть на сервере, значит этотому можно дать доступ к переменным сессии. Но если злоумышленник перехватил номер сессии, сразу не воспользовался им, пользователь закрыл обозреватель, все, этот номер сессии использовать не удастся - вель сессии уже нет на сервере. |
|