Ben oturum yönetimi ve çerezleri PHP nasıl çalıştığını bilmek ilgileniyorum. Ben kendi temel tarayıcı tanımlama bilgileri ile nasıl etkileşim gibi mekanizması, ve nasıl çerezleri sunucusuna oturum verileri doğrulamak için kullanılan bilmek istiyorum.
Bana bunu öğrenmek için izin herhangi bir web kaynaklar var mı?
PHP özellikle, standart yol oturumları çalışma PHP rastgele bir oturum kimliği oluşturur ve bir çerez koyar olmasıdır. (PHPSESSID denir Varsayılan) Bu cookie kullanıcının makinesinde yerel kaydederek tarayıcı tarafından ele alınır ve ona ait etki her isteği ile gönderilir.
Bu oturum kimliği ardından, sunucu makinesinde bir veri deposuna bakın bir apache / tmp / bulunan standart tarafından linux yüklemek için kullanılır. $ _SESSION Dizi her şeyi istekleri arasında depolandığı yerdir.
Görebileceğiniz gibi kullanıcı oturum kimliği "gerçek" sahibi kullanıcı ve sunucu arasında gerçek bir kimlik olduğu gibi, bu, cookie olarak sadece güvenlidir. Bu sözde "oturum ele geçirme" çerez koklama ve saldırganın makinede oturum kimliği ile tanımlama takarak mümkün olduğu anlamına gelir. Bu, bir web sayfasında bir hesap devralmak, ve çünkü are sunucuya, size özgün kullanıcı sadece sanki o dolaşmak için kullanılabilir.
Alternatif PHP destekler canlı oturumu tutmak daha güvensiz, yolu da var. Bu, her bağlantı ile bir GET değişkeni olarak oturum kimliğini göndererek yapılır. Görebileceğiniz gibi, bu bir kullanıcının sadece bu bağlantılardan birini-yapıştırır kopyalamak eğer, onun bütün kimlik bilgilerini veriyor olacak demektir. =)
Daha fazla bilgi bulunamadı the PHP manual.
PHP’s Session Handling manuel:
Web sitesine erişen Bir ziyaretçi benzersiz bir kimliği, sözde session id atanır. Bu da kullanıcı tarafında bir tanımlama içinde saklanan veya URL yayılır.
Bu benzersiz id o istemci yeni bir istekte dahaki maç için sunucu tarafında saklanan büyük bir rasgele bir sayıdır. Genellikle / tmp dizinine gider.
A cookie is a bit of data that's associated with a HTTP address. I.e.
1/ Browser requests www.google.com
2/ www.google.com response includes setting a cookie
3/ From this point on and as long as the cookie is valid (there's an expiry time associated with it), each subsequent request made by the browser to www.google.com/anything includes the cookie above
Ayrıntılı bilgi için: http://en.wikipedia.org/wiki/HTTP_cookie
Bir istemci-sunucu konuşma sunucu ile etkileşim diğer müşterilerine izole sağlar anlamda tabiiyetsiz HTTP protokolü bir oturumu oluşturarak bir çerez izinleri.