Forum Webscript.Ru

Программирование => PHP => Тема начата: Койот от 13 Сентября 2002, 14:30:09

Название: СЕССИИ В ПХП!!!
Отправлено: Койот от 13 Сентября 2002, 14:30:09

Ребят, помогите. Проблема такая - есть скрытый ресурс сайта. Попадаешь на него авторизацией - вводом логина и пассворда. Закрываешь браузер, опять открываешь копируешь строку секретного ресурса - нате! заходите! Я понимаю, надо поставить session TTL - только где? вначаеле секретной страницы? или как? Второе: как сдлеать так, чтобы при закрытии браузера запускался определенный php скрипт, на onUnload естественно не работает - только если создается новое окно, тогда выполняется через него. И Последнее: при том же закрытии браузера необходимо заносить в определенную таблицу MYSQL некую строку. Как это сделать?

Спасибо

f_coyote@mail.ru

Название: Сессии в php
Отправлено: AlieN от 13 Сентября 2002, 14:33:33

Койот

Цитировать

Попадаешь на него авторизацией - вводом логина и пассворда. Закрываешь браузер, опять открываешь копируешь строку секретного ресурса - нате! заходите!

Может у тебя как в книжке script.php?sekretarea=1 :)

Цитировать

на onUnload естественно не работает

а па другому  никак только ява

Название: Сессии в php
Отправлено: Меняздесьдавнонет от 13 Сентября 2002, 15:03:39

если у тебя сессии, и ты ничего не менял в дефолтных настройках, то сессия должна прибиваться автоматически.
потому, что идентифицируется она по куке с нулевым временем жизни.
или, раз ты упоминаешь о копировании ссылки, у тебя ид передается в урле?
Это сложнее.

А, собственно, в чем проблема-то?
Скакой стати кто-то будет копировать адресную строку, закрывать броузер, копировать?

Название: Сессии в php
Отправлено: rembo от 13 Сентября 2002, 18:49:17

1. Можна юзать куки - простейший выход из ситуации
2. Для особо боязливых необходимо везде ставить ссылку на скрипт убивающий сессию.
3. Почти всегда проще ударить молотком человеку по пальцам чтоб он сказал логин и пароль, чем подделывать идентификатор сесии :)

Название: Сессии в php
Отправлено: pomidor от 13 Сентября 2002, 20:51:19

как было сказано, сессия идентифицируется по куке с нулевым временем жизни.
если у тебя включена передача ид по ссылке - тоже не беда - она передается только первый раз, на первой странице.

самый правильный выход из этой ситуации - проверять HTTP_REFERER - тогда тебя никто не надует вставкой урл...

а еще у меня по твоим словам складывается подозрение, что ты не совсем корректно проверяешь на каждой странице в сикрет-ареа статус вошедшего пользователя...