Архив форумов ЦИТФорума

[ZooY]

У меня есть несколько мысле по поводу сессий в PHP, поправьте меня пожалуйста, если я в чем-то буду неправ...

Идентификатор сессии хранится у клиента или в виде куки или дописывается к URL (это зависит от конфигурации PHP). Таким образом если ID сессии хранится в куки, а у клиента отключены куки, то и с сессией этот клиент работать не сможет.

Все переменные, зарегистрированные в сессии хранятся на сервере. Обычный способ храрения состояния сессий - это файл - один на каждую сессию (это если параметр session.save_handler=files). Если этот параметр равен user, тогда в php-коде можно переопределить правила работы с сессиями с помошью session_set_save_handler(). Остается непонятным один момент. Если session.save_handler=user, но не переопределена работа с сессиями они по прежнему будут сохранятся в файл (как при значении files)?

Сессия заканчивается либо по истечении ее срока жизни, либо порсе "перезагрузки обозревателя", как написано в php.ini. Вот тут тоже несовсем понятно, что значит после перезагрузки, тоесть если я просто закрою обозреватель - то сессия останется чтоли, и только при следующем старте обозревателя удаситься. И еще, удаление куки у клиента я понимаю, но как удаляется сессия на стороне сервера?

Для пользователя создана сессия. Некий злоумышленник перехватил номер сессии пользователя, заходит на сервер, сервер смотрит, что у него есть номер сессии, и такая сессия есть на сервере, значит этотому можно дать доступ к переменным сессии. Но если злоумышленник перехватил номер сессии, сразу не воспользовался им, пользователь закрыл обозреватель, все, этот номер сессии использовать не удастся - вель сессии уже нет на сервере.

[Astaroth]

сессия сама решит как ей храниться - в куке или как еще, так что не мучай мозг. сессиям пофиг работают или нет у пользака куки, и в этом их прелесть.
_________________
Не очеловечивайте компы - они этого не любят!