Раньше для пользователей было две таблицы *- постоянная и временная, теперь хочу от временной отказаться, а при регистрации сохранять в сессию.
В сессию буду сохранять данные из формы и сгенерированный код подтверждения (ведь сеесии хранятся на сервере и пользователь не узнает код подтверждения?)
Нормально так будет? Потом даём пользователю форму, он воодит код, если правильно, то данные из сессии сохраняем в постоянную таблицу.
И что будет, если у польхователя отключен куки.
_____________
Принимаю заказы, писать в ЛС
Полная Версия: Логика регистрации с подтверждением по смс.
Медведь
Нормально будет.
Отключены ли у пользователя куки, нужно проверять в самом начале.
Если отключены, то передавать session_id в $_GET, и получая его инициилизировать сессию с данным session_id
_____________
[продано копирайтерам]
Нормально будет.
Отключены ли у пользователя куки, нужно проверять в самом начале.
Если отключены, то передавать session_id в $_GET, и получая его инициилизировать сессию с данным session_id
_____________
[продано копирайтерам]
Т. е. через гет передавать Только ид сессии?
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
Каждому посетителю сайта присваивается уникальный идентификатор, называемый идентификатором сессии (session id). Он хранится либо в cookie на стороне пользователя, либо передается через URL.
Во втором случае передачи через гет, от меня что то требуется?
_____________
Принимаю заказы, писать в ЛС
Во втором случае передачи через гет, от меня что то требуется?
_____________
Принимаю заказы, писать в ЛС
| Цитата (Медведь @ 10.05.2015 - 19:28) |
| от меня что то требуется |
Вывести юзеру сообщение что для работы сайта требуется поддержка куки, можно давать ссылку, для ламеров, с инстркуциями как их включить, но ни в коем случае не передавать ид сессии в урл.
killer8080
| Цитата |
| но ни в коем случае не передавать ид сессии в урл. |
Обоснуй. Только не общими словами об безопасности, конкретно, в чем проблема?
_____________
[продано копирайтерам]
| Цитата (AllesKlar @ 10.05.2015 - 22:39) | ||
killer8080
Обоснуй. Только не общими словами об безопасности, конкретно, в чем проблема? |
нубы любят постить ссылки со своим СИДом
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
Invis1ble
| Цитата |
| нубы любят постить ссылки со своим СИДом |
Ну, это мелочь.
Получаем сид, инициилизируем сессию, сохраняем сессию в переменную, убиваем сессию, инициилизируем новую сессию, пишем в новую сессию ранее сохраненное, для всех ссылок используем новый сид.
Да, конечно, можно ссылку копировать не из строки ввода url браузера, а непосредственно из страницы, но нубы так не сделают
Можно, конечно и
| Цитата |
| Вывести юзеру сообщение что для работы сайта требуется поддержка куки |
но лично меня коробит, когда заходишь на сайт, а он мне указывает, что я должен делать.
Если у меня выключенны куки, то выключены они не спроста.
Еще бы написали "сайт адаптирован под IE-11, пожалуйста, зайдите на сайт через него"
_____________
[продано копирайтерам]
Не понимаю людей, кто выключает куки, JS... Может быть они еще интернет себе выключат и захотят сайты смотреть!? 
ИМХО с такими даже дела иметь не нужно. Не дай Бог такой клиент купит у тебя какую-нибудь услугу. Он потом весь мозг вынесет... Характер.
Я когда администратором у одного "домашнего" провайдера работал, попался нам такой клиент. И вот давай спрашивать: а почему так, да почему эдак... Давай нас учить как надо делать. Да я сам знаю, что как он говорит будет в 10 раз лучше! А деньги на оборудование кто давать будет? Он чего-то особо не предлагал...
Дал бы пару сотен тысяч рублей, сделали бы по Европейским стандартам. Да мы бы ему отдельное волокно бы кинули прямое до серверной. Прямо в его обшарпанную хату. Тысяч за 20 рублей. Даже емкость была, только плати. Но нет, ему платить как все, а пользоваться как не все.
Какой процент ипанутых? Меньше 1%? Да и в рот им потные ноги, параноикам. Если это не эксклюзивные услуги за большие бабки, конечно же...
ИМХО с такими даже дела иметь не нужно. Не дай Бог такой клиент купит у тебя какую-нибудь услугу. Он потом весь мозг вынесет... Характер.
Я когда администратором у одного "домашнего" провайдера работал, попался нам такой клиент. И вот давай спрашивать: а почему так, да почему эдак... Давай нас учить как надо делать. Да я сам знаю, что как он говорит будет в 10 раз лучше! А деньги на оборудование кто давать будет? Он чего-то особо не предлагал...
Дал бы пару сотен тысяч рублей, сделали бы по Европейским стандартам. Да мы бы ему отдельное волокно бы кинули прямое до серверной. Прямо в его обшарпанную хату. Тысяч за 20 рублей. Даже емкость была, только плати. Но нет, ему платить как все, а пользоваться как не все.Какой процент ипанутых? Меньше 1%? Да и в рот им потные ноги, параноикам. Если это не эксклюзивные услуги за большие бабки, конечно же...
| Цитата (Invis1ble @ 11.05.2015 - 00:28) |
| нубы любят постить ссылки со своим СИДом |
и не только, если это публичный ресурс на котором можно постить или посылать в ЛК друг другу ссылки или картинки с внешних ресурсов, то id спокойно можно угонять через реферер. На форуме к примеру для этого вполне подойдут аватарки.
| Цитата (AllesKlar @ 11.05.2015 - 03:15) |
| Получаем сид, инициилизируем сессию, сохраняем сессию в переменную, убиваем сессию, инициилизируем новую сессию, пишем в новую сессию ранее сохраненное, для всех ссылок используем новый сид. |
бред сивой кобылы, нельзя менять id сессии на каждом запросе, это чревато такими граблями, что запаришься их обходить. Загрузилась страница, id один, выполнил аякс запрос - id поменялся, кто будет менять id в ссылках и формах? А следующие запросы? Изобретать какие то глобальные хуки? Плюс при асинхронных аякс запросах, очередность отработки колбеков не зависит от очередности запросов, и вся логика с динамическими id коту под хвост, если последним отработает не последний колбек, и навешает не актуальный id. Не думаю что юзерам понравятся постоянные обрывы сессии.
Если уж так приспичило поддерживать use_trans_sid, тогда проще привязывать сессию к ip, на уровне логики, по крайней мере безопасно, угонять идшники тогда смысла нет, минус подхода - неудобства для юзеров с динамическим ip.
| Цитата (AllesKlar @ 11.05.2015 - 03:15) |
| Можно, конечно и Цитата Вывести юзеру сообщение что для работы сайта требуется поддержка куки но лично меня коробит, когда заходишь на сайт, а он мне указывает, что я должен делать. Если у меня выключенны куки, то выключены они не спроста. |
ну так попробуй отключить куки, и залогинится на любой популярный ресурс - гугл, яндекс, вк и т.п посмотри что получится
Медведь
По теме
| Цитата |
| Логика регистрации с подтверждением по смс. |
отправлять смс нужно после проверки на человека, чтоб какой нибудь бот тебе все деньги не спустил
| Цитата (killer8080 @ 11.05.2015 - 07:50) | ||
| Медведь По теме
отправлять смс нужно после проверки на человека, чтоб какой нибудь бот тебе все деньги не спустил |
Вроде капчи?
_____________
Принимаю заказы, писать в ЛС
| Цитата (Медведь @ 11.05.2015 - 07:33) |
| Вроде капчи? |
да
Здесь расположена полная версия этой страницы.