[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Все даные в сесии
zzzv1r
Хотел спросить вас, созрела такая идея, что если загонять все данные в сессию когда юзер логинится на сайте? Для того чтобы не лазить все время в БД и тащить оттуда нужную инфу для скрипта? Не приведет ли это к несанкционированному доступу?
И еще хотел спросить, не возможно ли прочитать то что в переменных на сессии, потому что поменять уже нашол что нельзя кроме как скриптом админа?



Спустя 13 часов, 14 минут, 49 секунд (30.08.2009 - 10:39) Гость_hara написал(а):
что значит все данные?
- все - это понятие очень растяжимое, если вы много туда напихаете, скрипту прийдётся таскать
это каждый раз при обращении к нему.
так что не переусердствуйте, храните только то что действительно нужно, - а вот что вам нужно
решать только вам.

сессии хранится на сервере в файлах или базе данных - прочитать пользователю нельзя, только конечно если ваш скрипт не позволит ему это сделать.

Спустя 22 минуты, 35 секунд (30.08.2009 - 11:02) zzzv1r написал(а):
ну например юзернейм, хеш, ІР, дату регистрации, и т д

Спустя 4 минуты, 24 секунды (30.08.2009 - 11:06) Гость_hara написал(а):
я же сказал что вам решать
нужна дата регистрации - храните, кто против то ? для того и нужна сессия

Спустя 14 часов, 56 минут, 25 секунд (31.08.2009 - 02:03) Nikitian написал(а):
Смотрите где хранятся сессии и если в файлах, то доступ туда можно получить банальным веб-шеллом. Пользователь (веб-сервер) один, поэтому права доступа не решают. Если храните в базе, то опять же желательно хранить в отдельной базе, а не в той же, где и данные сайта, а то sql-injection и сессии как на ладони (хотя тут уже проще сами данные в базе править, чем сессии smile.gif)
Быстрый ответ:

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.