שאלה לגבי session...

[רוןמ]

שאלה לגבי session...

האם מספיק להשתמש ב- session עבור הרשאה לעמודים מסויימים? נניח שמשתמש מעוניין להיכנס לעמוד מועדון, האם מספיק שאחרי שהנתונים אומתו להפעיל session ובעמוד המועדון לבדוק אם אותו ה- session רשום?

 

[CipherDon]

זאת הנורמה ברוב האתרים

לאחר עמוד לוגין ממלאים סשן, ובראש כל דף מוגן - שולחים לפונקציה שתפקידה לבדוק אם הסשן מלא. במידה ולא - שלום ולא להתראות...

 

[איסתרא בלי לגינא]

אני משתמש בעוגיות

כדי שהמערכת תזכור האם המשתמש מחובר או לא למשך הרבה זמן. אם אני רוצה שהעוגיה תעבוד כמו session אני פשוט לא מעביר פרמטר expire לפונקציה setcookie, והיא פגה עם סגירת הדפדפן. הבדיקה בראש כל עמוד תהיה אותה הבדיקה - האם העוגיה קיימת. כמובן שניתן ליצור עוגיות של שם משתמש וסיסמא, ולבדוק אם העוגיה קיימת וגם אם קיים שם משתמש וסיסמא זהים במערכת, אבל הדבר מאוד לא יעיל לבדיקה בכל עמוד.

 

[רוןמ]

הבנתי...

הכוונה בהודעה שלי הייתה אם זה מספיק מבחינת אבטחה, אבל לפי התשובות שלכם, כנראה שכן