Session
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Session - 2005-03-07 16:01:48
|
|
|
smaxims
Сообщений: 8
Оценки: 0
Присоединился: 2005-03-07 15:55:46
|
Получил я ид сессии пользователя, хотел подменить его в куки, но увы такого куки не оказалось. То есть сесия создается, но соответствующий куки не сохраняется.
В чем проблама может быть?
|
|
|
|
|
Session - 2005-03-07 18:11:26
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
В том, что, во-первых, не все сессии строятся на основе кук. Это зависит от конфигурации php.ini на сервере.
А во-вторых, кто вам сказал, что идентификаторы сессии хранятся на локальной машине.
|
|
|
|
|
Session - 2005-03-07 18:24:53
|
|
|
smaxims
Сообщений: 8
Оценки: 0
Присоединился: 2005-03-07 15:55:46
|
ну ок, но данныя проблема в следуйщем: У меня есть ид сессии пользователя, который еще онлайн. Я захожу на страницу, которая запрашивает ид сессии. Как мне подставить то ид, который я упер?
ид передается не через переменные/формуляры, так что подставить просто в урл не получится:(
|
|
|
|
|
Session - 2005-03-07 19:25:35
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
Smaxims, не все так просто.
Начнем с того, что существует несколько вариантов авторизации и использования сессий:
1. создается сессия, идентификатор хранится в куках (в таком случае, его можно обнаружить на локальной машине)
2. сессия создается, но идентификатор нигде не хранится, а каждая ссылка содержит в себе SID
3. вообще используется иной механизм
Плюс к этому, распространены различные варианты защиты от подделки сессии, например слежение за переменными $_SERVER['HTTP_REFERER'] и $_SERVER['REMOTE_ADDR'].
Прошу обратить внимание, что на идентификаторах свет клином не сошелся. За примерами далеко ходить не придется. Посмотрите на sessionID хотя бы этого форума - он все время меняется, хотя вы не теряете авторизации.
|
|
|
|
|
Session - 2005-03-08 15:41:16
|
|
|
smaxims
Сообщений: 8
Оценки: 0
Присоединился: 2005-03-07 15:55:46
|
В данном случае сессия устанавливается с помощю функции пхп [session_start()] и даже называется [PHPSESSID].
Вопрос был в следуйщем - я получил номер сессии. При каждом вызове любой страницы из [memberarea] сервер запрашивает у компютера пользователя номер сессии. Как этот номер подменить, то есть отослать серверу тот, который я хочу.
Интерессно следуйщее:
с помощю функции яваскрипта [dосиmеnt.cookie="PHPSESSID=e48…"](которую я прописываю в страницу сервер) - получается следуйщее: если я с помощю этой же функции проверяю куки, то выглядет результат так: [PHPSESSID=a48…;PHPSESSID=e48…].
Я написал пхп скрипт, который инициализирует сессию и поставил на свой сервер. Проделал тоже самое, то есть после инициализации сесии с при помощи пхп переписываю ее ид с помощю яваскрипт. И это сработало, как ни странно
|
|
|
|
|
Session - 2005-03-08 17:48:38
|
|
|
smaxims
Сообщений: 8
Оценки: 0
Присоединился: 2005-03-07 15:55:46
|
так что, никто не знает?[sm=sm128.gif]
|
|
|
|
|
Session - 2005-03-08 20:03:18
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
Как-то не совсем ясно - тесты были на локальной машине?
Теперь нужно проверить на удаленном сервере? Я правильно понял?
Если все так, то откуда уверенность, что на другом сервере такой же механизм авторизации?
Я ведь не зря сказал про этот форум - ну хоть заподменяйся ты тут с сессиями, ничего из этого не выйдет!
|
|
|
|
|
Session - 2005-03-08 21:09:39
|
|
|
smaxims
Сообщений: 8
Оценки: 0
Присоединился: 2005-03-07 15:55:46
|
проверил ид сессии. Он после того как вошел в систему все время один и тотже.
Кроме того включил в браузере подтвержении куки - сервер все время пытается установить "[PHPSESSID=…]".
На всякий случай проверил снифером еще хттп-ответ. При каждом обращение запрашивается у моего браузера номер сессии, кототый, как я уже сказал - не изменяется, один и тот же.
|
|
|
|
|
|
