[php] session แบบ remember me ที่ไม่ใช้ cookie เขียนยังไงครับ

GillBate · 15 เมษายน 2010, 11:38:42

ก่อนอื่นก็ถามเรื่อง session หน่อยครับ คือปกติมันจะออกเมื่อเราปิด browser ใช่มั้ยครับ แต่สิ่งที่ผมชอบทำเป็นประจำคือ ปิดเครื่องโดยไม่ปิด Firefox ดังนั้นเวลาเปิด Firefox ขึ้นมาใหม่มันเลยลอ็กอินเข้าไปเรียบร้อยเลย อยากทราบว่ามันทำงานแบบนี้ยังไงครับ

อีกข้อก็คือ session แบบ remember me ที่ไม่ใช้ cookie เขียนยังไงครับ

jatuphum · 15 เมษายน 2010, 12:56:35

session กับ cookie มันเป็นของคู่กันครับ
เพราะ session จะอาศัย cookie เพื่อส่ง session id ไปยังเซิร์ฟเวอร์
หากไม่มีการเปิดใช้ cookie PHP ก็จะส่ง session id มาพร้อมกับ url เช่น http://domain.com?PHPSESSID=ac15000a64a748f20dcd42d4 เป็นต้น
ส่วนในกรณีที่เปิด browser แล้วยังสามารถเข้าเว็บได้แม้จะปิดไปก่อนหน้านั้น เป็นเพราะ cookie ยังไม่หมดอายุ อาจเป็นเพราะมีการกำหนดอายุ cookie ไว้นานมากหรือตามเวลาที่โปรแกรมเมอร์กำหนด เช่น 30,60,180 นาทีเป็นต้น

GillBate · 15 เมษายน 2010, 13:12:08

cookie มันจะเก็บข้อมุลไว้ที่เครื่องวึ่งสามารถเปิดอ่านได้ ส่วน session จะเก็บไว้ที่ server
%ที่จะโดนแฮคทาง cookie มีเยอะครับ เลยไม่อยากใช้

beg · 15 เมษายน 2010, 13:24:39

อ้างถึงจาก: GillBate ใน 15 เมษายน 2010, 13:12:08
cookie มันจะเก็บข้อมุลไว้ที่เครื่องวึ่งสามารถเปิดอ่านได้ ส่วน session จะเก็บไว้ที่ server
%ที่จะโดนแฮคทาง cookie มีเยอะครับ เลยไม่อยากใช้

เข้ารหัส cookies ไว้สิครับ

GillBate · 15 เมษายน 2010, 13:34:57

อ้างถึงจาก: beg ใน 15 เมษายน 2010, 13:24:39
อ้างถึงจาก: GillBate ใน 15 เมษายน 2010, 13:12:08
cookie มันจะเก็บข้อมุลไว้ที่เครื่องวึ่งสามารถเปิดอ่านได้ ส่วน session จะเก็บไว้ที่ server
%ที่จะโดนแฮคทาง cookie มีเยอะครับ เลยไม่อยากใช้

เข้ารหัส cookies ไว้สิครับ

ทำยังไงอ่ะครับ

icez · 16 เมษายน 2010, 16:10:34

ใช้ cookie เก็บข้อมูล unique id
แล้วไป query เอาข้อมูลเพิ่มเติมจาก database อีกทีสิครับ
(เทคนิคเดียวกับ session)

ไม่งั้นก็ใช้ cookie นั่นแหละ
แต่ก่อนเอาไปใช้ให้ตรวจสอบค่าก่อนเสมอ ว่าอยู่ในรูปแบบถูกต้องรึเปล่า
อย่างเช่นตัวเลขก็ต้องมีแต่ตัวเลข (ใช้ function is_numeric ตรวจ)
ถ้าเป็ฯข้อความ จะเอาไป query ก็ต้องผ่าน mysql_real_escape_string ก่อน
แค่นี้แหละครับ

ttuunn · 16 เมษายน 2010, 16:13:33

จริงทำแบบ ปิดไปแล้วเปิดมา แล้วยังค้างดูไม่ปลอดภัยเท่าไร

kobkung · 17 เมษายน 2010, 01:44:39

จริงๆ ก็ไม่ค่อยชอบตัวนี้ของ ff สักเท่าไหร่ อันตรายนะ เว็บไหนเขียนไม่เนียน password กระจายแน่นอน

kitazawa1st · 17 เมษายน 2010, 03:32:14

อ้างถึงจาก: kobkung ใน 17 เมษายน 2010, 01:44:39
จริงๆ ก็ไม่ค่อยชอบตัวนี้ของ ff สักเท่าไหร่ อันตรายนะ เว็บไหนเขียนไม่เนียน password กระจายแน่นอน

เห็นด้วยอย่างที่สุด ต้องปรับเปลี่ยนระบบเดิมให้ปลอดภัยมากขั้นเยอะเลย

*** firebug นี่ตัวปัญหาที่สุด input:hidden นี่ไม่ปลอดภัยเลย

Reality · 17 เมษายน 2010, 05:09:54

ถ้าอยากเช็คว่าคอมเดียวกันรึเปล่า ต้องใช้ Cookie ถูกแล้วครับ

คุณจะใช้มันยังไง ขึ้นอยู่กับว่าใช้หัวคิดมากแค่ไหน
เพราะผู้ใช้ก็มีสิทธิ์แก้คุ๊กกี้ได้เช่นกัน

คิดให้มากๆ ไว้ แล้วก็เก็บให้เงียบๆ เพราะไอเดียสำหรับคนจะแฮก ก็คือไอเดียของผู้ที่เขียนระบบ

mixture · 17 เมษายน 2010, 05:33:29

ถ้าตามหัวข้อ ก็ใช้ cookie เก็บแค่ session id ครับ ค่าที่เหลือให้ไป query กับ database อีกที แบบที่คุณ icez บอก

codeigniter ก็ใช้วิธีนี้ในการเก็บข้อมูล แต่ถ้าบอกว่าจะไม่ใช้ cookie เลย มันก็ remember me ไม่ได้ครับ เพราะเหลือแต่ session ปิด browser ไป ค่า session ก็เปลี่ยนแล้ว

GillBate · 17 เมษายน 2010, 06:25:20

อย่างนี้นี่เอง

Tee++; · 18 เมษายน 2010, 02:13:49

Zend Session คือคำตอบเลยครับ ใช้วิธีการเก็บ session ID ใน cookie แล้วไป Clone session data ขึ้นมาใหม่