Вопрос по кукам и сессиям в php?

Question

[Оптимус Пьян]

Сессия существует до закрытия браузера. Тут всё понятно, вопрос по сессии только такой:
1. Хеш сессии можно сохранить в БД

UPDATE `user` SET `session`=$session_hash WHERE `login`=$login

но зачем? Юзер браузер закрывает, в чём смысл оставшейся сессии в БД? Сайт на 1 сервере, т.е. не надо сессию между серверами таскать.

Далее при авторизации делаем куку, но по ней вопросы:
var_dump($_COOKIE); показывает:

array(2) {
  ["PHPSESSID"]=>
  string(26) "ma7emp7j7vp6o85oqlclefi315"
  ["namecookie"]=>
  string(5) "login"
}

Почему в переменной $_COOKIE хранится PHPSESSID а не в $_SESSION например?

Ну и вообще что хранить в cookie если каких-то индивидуальных настроек сайта типа цвета, стартового раздела у меня нет и вообще имеют ли они смысл? Может от них отказаться, безопасность юзеров повысится...

Answer 1

[Сергей Протько]

Чем куки отличаются от сессии в PHP?

в дополнение:
- сессии просто можно хранить в базе и тогда хэндлинг сессий это ваша забота. Это удобно когда у нас несколько серверов и балансировщик раскидывает нас на разные сервера, тогда у нас есть единый центр сессий например. Для этих же целей можно использовать memcache или redis.
- сессии не обязательно умирают после закрытия браузера

Comments

[Оптимус Пьян]

Я читал тот большой ответ, поиском пользовался, фундаментальный экскурс интересный... что сессии используют куки это понятно, но самому что в них писать не очень понял, ну в конце про часовой пояс вроде сказано, но это для форумов актуально, да и в БД его наверное можно хранить тоже...

[Виталий Хоменко]

Дмитрий: Можно хранить последнее положение некого меню сайта - закрыто оно или открыто. И этот параметр хранится в куках длительное время, годы. Закрыли вы меню - в куках запомнилось. Можно сохранять состояние, к примеру недозаполненные формы, или положение страницы. Много чего можно хранить. И не только куки одни могут хранить подобные данные.

[Виталий Хоменко]

А, это о сессиях наверное был вопрос. Прошу прощения, не понял сразу

[Сергей Протько]

Дмитрий: писать в куки? Да ничего в общем-то. Куки хорошо когда мы хотим избавиться от какого-либо хранения состояния между клиентом и сервером.

Часовой пояс... ну тут есть варианты и все зависит от задачи. Если у вас есть необходимость нотификации отправлять на девайсы, то было бы неплохо знать часовой пояс сессии. В этом случае обычно заводят отдельно какое-то хранилище для сессий (сессий не в контексте php а абстрактных таких), и там для каждого девайса запоминают местоположение. Например гугл использует похожий метод для того что бы вы всегда знали что кто-то зашел под вашей учеткой с нового устройства или из новой локации (дабы предупредить о возможном несанкционированном доступе к учетке).

Answer 2

[Stalker_RED]

Сессия существует до закрытия браузера. Тут всё понятно

Нет, сессия может существовать пока существует кука у пользователя (до закрытия браузера или до определенной даты, хоть через тыщу лет) и пока не истечет таймер на сервере. А таймер на сервере можно установить на 0, и не очищать сесси никогда.

Хеш сессии можно сохранить в БД ... но зачем?

Чтобы использовать одну сессию для нескольких серверов, например. Только наверное не хеш сессии а SESSIONID и собственно само содержимое сессии. Может еще "срок годности".

Ну и вообще что хранить в cookie если каких-то индивидуальных настроек сайта типа цвета, стартового раздела у меня нет и вообще имеют ли они смысл?

А никто вас и не заставляет использовать сессии и куки. Если нет авторизации, нет никаких пользовательских настроек, и нечего хранить в сессии - даже не вызывайте session_start().