PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
H

Met session ID zoeken of combinatie gebruikersnaam, email, enz.

Door Hans De Ridder op 09-11-2017 17:00
6.570 views
Ik gebruik bij de inlogprocedure en wijzigingen een vast gecodeerde session code, en een variabele code.
Bij het zoeken naar gegevens van lid gebruik ik nu de voorhanden zijnde gegevens
als Username, Email, enz.
Ik zou natuurlijk ook de gegevens van de session kunnen gebruiken.
De vaste session code bevat een uniek gegeven van een lid.
Omdat die session is gecodeerd moet ik het eerst omzetten voor referentie.
Wat betreft scripting maakt dat niet veel uit.
Tenzij ik de vaste session waarde ongecodeerd erin zet (=lidnr).
Dan kan ik direct op fotonaam (=lidnr) zoeken voor alle gegevens.
Lijkt me niet zo veilig.
Hoe zoeken jullie de gegevens?
Hieronder een voorbeeldje:

 $files = glob(realpath($_SERVER[ 'DOCUMENT_ROOT' ]) . "../*.{jpg}", GLOB_BRACE);

foreach($files as $file) {
$i = new iptc(file);
$r = $i->get(EMAIL);

if ($r == $email) 
{
$lid_nr = $i->get(LID_NR);
$name = $i->get(NAME);
$ip = $i->get(IP);
break;
}
}
Ward van der Put
20-11-2017 17:04
Je mist nog AutoCollectie Infomation. ;-)

Wat is een "session blok"?
En als je "# Session and Cookie Infomation" hebt, moet dat blok dan niet daar in?
H
Hans De Ridder
20-11-2017 17:19
Bedankt Ward,
ik bedoelde met sessionblok de sessiongegevens die telkens opgegeven moeten worden bij session_start().
Hoe kan ik die verwerken in dat gedeelte, zodat ik die eenvoudig kan oproepen?
Ward van der Put
20-11-2017 18:46
Waarom zet je ze niet in php.ini?
H
Hans De Ridder
20-11-2017 19:37
Ik heb (voorlopig) te maken met gedeelde server.
Vandaar dat de session dir. ook naar mijzelf toegehaald.


[size=xsmall]Toevoeging op 21/11/2017 00:14:11:[/size]

Zoiets?
Kan ik binnen een inlogclass verwijzen naar een sessionclass ?

class Session{ 
public function __construct() { 

ini_set("session.gc_maxlifetime", Session_Lifetime); 
ini_set('session.cookie_lifetime', Session_Lifetime);
ini_set('session.gc_probability', 1);
ini_set('session.gc_diviser', 100);
session_save_path(realpath($_SERVER[ 'DOCUMENT_ROOT' ]) . "/ses/");
session_start();
session_regenerate_id();
} 

public function set($k, $v){
$_SESSION[$k] = $v;
} 
 }


En waar nodig:


$session = new Session(); 
$session->set('key', 'value');

B
Ben van Velzen
21-11-2017 11:02
Haal ook gelijk die session_regenerate_id() eens weg.
H
Hans De Ridder
21-11-2017 11:47
Met welk doel de regenerate weghalen Ben?
Werd juist geadviseerd om die toe te voegen...
Ward van der Put
21-11-2017 11:57
Nee, alleen als de toestand (state) van je applicatie verandert.
Dat is met name belangrijk als je van HTTP redirect naar HTTP/S: de sessie-ID die zonder SSL-encryptie werd gebruikt, wil je op dat moment onbruikbaar maken, dus regenereer je de ID.
B
Ben van Velzen
21-11-2017 12:13
Als je je bestandssysteem constant wil volgooien met bestanden dan doe je het elke request opnieuw. Met een klein aantal gelijktijdige bezoekers loop je dan al tegen problemen aan. Gewoon niet doen dus, alleen op de momenten die Ward al aangeeft.
Thomas van den Heuvel
21-11-2017 13:43
session_regenerate_id() heeft een optionele parameter $delete_old_session (default false). Als je die nou eens op true zet zou je kunnen kijken hoe groot de footprint van deze constructie daadwerkelijk is.

Zoals @Frank aangaf zul je je wel moeten vergewissen van het feit of de bestanden dan ook daadwerkelijk opgeruimd worden.

Daarnaast ben ik dus nog steeds van mening dat je dingen om een reden moet doen. session_regenerate_id() is geen toverspreuk die je te pas en te onpas uitvoert, dus als je geen reden hebt om op elk moment van sessie-id te switchen, doe dit dan niet.

En zoals @Ward (en ik eigenlijk ook) al aangaven is het een goed moment om van sessie-id te switchen wanneer er iets in de toestand (de relatie gebruiker <--> website) verandert, zoals inloggen.

Ook kun je je afvragen in hoeverre het uitkristalliseren van je sessie-management zin heeft als het fundament van je applicatie zelf nogal wankel is.

Reageren

Inloggen om te reageren