Насколько в PHP безопасно хранить данные в $_SESSION?

Question

[svd71]

После некоторого изучения этого вопроса, пришел к выводу, что довольно безопасно: файл создается на сервере, ни в коем образом не передается клиенту. Может я заблуждаюсь?

И что может произойти с данными, если сервер не поддерживает кукисы, а у клиента они включены?

Answer 1

[vasenin26]

Абсолютно верно. PHP хранит сериализованные данные сессии в файле на сервере. Между страницами передаётся только идентификатор сессии и передаётся он как раз с помощью cookies. Теоретически можно украсть идентификатор сессии тем самым получив доступ к данным сессии с другого устройства, но довольно просто можно сделать дополнительную защиту привязав сессию к IP например (хранить в сессии и каждый раз проверять, при изменении IP клиента - сбрасывать сессию) или же используйте SSL на своём сайте если на нём имеется достаточно важная информация, в остальных случаях я думаю можно не заморачиватся, но всё же следите за тем что вы делаете - безпосными ваши скрипты делаете вы сами, а не PHP.

Comments

[svd71]

хорошая подсказка. спасибо!

Answer 2

[Игорь Яцевич]

После некоторого изучения этого вопроса, пришел к выводу, что довольно безопасно: файл создается на сервере, ни в коем образом не передается клиенту. Может я заблуждаюсь?

нет - не заблуждаешься, клиенту передается только идентификатор сессии либо через COOKIE, либо через GET параметр запроса (если COOKIE не поддерживаются клиентом и включена соответствующая настройка в PHP на сервере), чтобы рпи открытии следующей страница сервер понял что это пять тот же самый пользователь.

И что может произойти с данными, если сервер не поддерживает кукисы, а у клиента они включены?

во первых, может наоборот - выключены в браузере куки? Ибо как написал ты, то просто сессия будет идти через GET параметр - то все штатно.

во вторых, с какими данными? если механизм сессий не работает, то никаких данных и нет.
Если же ты решил потереть или поменять идентификатор сессий в браузере, то данные на сервере будут храниться то тех пор, пока у них не истечет срок жизни (который указывается в настройках сессий php).

p.s. Я бы посоветовал еще поразбираться с этим механизмом. Т.к. судя по вопросам ты не до конца уловил суть этого всего)

Comments

[svd71]

я не ошибочно написал. все именно так: на сервере делается поддержка сессий, но нет работы с кукисами. я хочу в сессии хранить параметры пользователя. и очень хорошо, если сессия закончила свое существонание - повод пользователю перелогиниться.

Answer 3

[Николай Васильчук]

файл создается на сервере, ни в коем образом не передается клиенту. Может я заблуждаюсь?

Если у вас сессия хранится в файлах, то вы правы. Но сессию можно хранить в другом месте, например в БД. В общем случае разницы нет, данные сессии клиенту переданы не будут (если вы их не передадите), на клиент уйдет только идентификатор сессии.

И что может произойти с данными, если сервер не поддерживает кукисы, а у клиента они включены?

Как вы организуете работу с сессиями, если "сервер не поддерживает кукисы"? Идентификация клиента в общем случае происходит так: сервер получает из клиентской куки идентификатор сессии, находит по нему данные сессии.

Comments

[enchikiben]

@Anonym
И что может произойти с данными, если сервер не поддерживает кукисы, а у клиента они включены?

тут наверное идет речь про то что передача идентификатора сессии может происходить не через куки а через параметр в URL.

[svd71]

Нет. речь идет о том, что если при такой конфигурации у пользователя уведут кукисы, не будет ли доступны те данные, которые записаны в сессии на сервере. Повторяю, что на сервере при этом не ведется поддержка кукисов.

[Николай Васильчук]

> на сервере при этом не ведется поддержка кукисов.
@svd71 Что это значит?

[svd71]

Это значит, что в массив $_COOKIE не используется, не вызывается setcookie() и пр.