ต่อไป »

[GillBate]

  ก่อนอื่นก็ถามเรื่อง session หน่อยครับ คือปกติมันจะออกเมื่อเราปิด browser ใช่มั้ยครับ แต่สิ่งที่ผมชอบทำเป็นประจำคือ ปิดเครื่องโดยไม่ปิด Firefox ดังนั้นเวลาเปิด Firefox ขึ้นมาใหม่มันเลยลอ็กอินเข้าไปเรียบร้อยเลย อยากทราบว่ามันทำงานแบบนี้ยังไงครับ

อีกข้อก็คือ session แบบ remember me ที่ไม่ใช้ cookie เขียนยังไงครับ

[jatuphum]

session กับ cookie มันเป็นของคู่กันครับ
เพราะ session จะอาศัย cookie เพื่อส่ง session id ไปยังเซิร์ฟเวอร์
หากไม่มีการเปิดใช้ cookie PHP ก็จะส่ง session id มาพร้อมกับ url เช่น  http://domain.com? PHPSESSID=ac15000a64a748f20dcd42d4  เป็นต้น
ส่วนในกรณีที่เปิด browser แล้วยังสามารถเข้าเว็บได้แม้จะปิดไปก่อนหน้านั้น เป็นเพราะ cookie ยังไม่หมดอายุ อาจเป็นเพราะมีการกำหนดอายุ cookie ไว้นานมากหรือตามเวลาที่โปรแกรมเมอร์กำหนด เช่น 30,60,180 นาทีเป็นต้น   

[GillBate]

  cookie มันจะเก็บข้อมุลไว้ที่เครื่องวึ่งสามารถเปิดอ่านได้ ส่วน session จะเก็บไว้ที่ server
%ที่จะโดนแฮคทาง cookie มีเยอะครับ เลยไม่อยากใช้

[beg]

cookie มันจะเก็บข้อมุลไว้ที่เครื่องวึ่งสามารถเปิดอ่านได้ ส่วน session จะเก็บไว้ที่ server
%ที่จะโดนแฮคทาง cookie มีเยอะครับ เลยไม่อยากใช้

เข้ารหัส cookies ไว้สิครับ

[GillBate]

cookie มันจะเก็บข้อมุลไว้ที่เครื่องวึ่งสามารถเปิดอ่านได้ ส่วน session จะเก็บไว้ที่ server
%ที่จะโดนแฮคทาง cookie มีเยอะครับ เลยไม่อยากใช้

เข้ารหัส cookies ไว้สิครับ

  ทำยังไงอ่ะครับ

[icez]

ใช้ cookie เก็บข้อมูล unique id
แล้วไป query เอาข้อมูลเพิ่มเติมจาก database อีกทีสิครับ
(เทคนิคเดียวกับ session)

ไม่งั้นก็ใช้ cookie นั่นแหละ
แต่ก่อนเอาไปใช้ให้ตรวจสอบค่าก่อนเสมอ ว่าอยู่ในรูปแบบถูกต้องรึเปล่า
อย่างเช่นตัวเลขก็ต้องมีแต่ตัวเลข (ใช้ function is_numeric ตรวจ)
ถ้าเป็ฯข้อความ จะเอาไป query ก็ต้องผ่าน mysql_real_escape_string ก่อน
แค่นี้แหละครับ

[ttuunn]

จริงทำแบบ ปิดไปแล้วเปิดมา แล้วยังค้างดูไม่ปลอดภัยเท่าไร 

[kobkung]

จริงๆ ก็ไม่ค่อยชอบตัวนี้ของ ff สักเท่าไหร่ อันตรายนะ เว็บไหนเขียนไม่เนียน password กระจายแน่นอน

[kitazawa1st]

จริงๆ ก็ไม่ค่อยชอบตัวนี้ของ ff สักเท่าไหร่ อันตรายนะ เว็บไหนเขียนไม่เนียน password กระจายแน่นอน

เห็นด้วยอย่างที่สุด ต้องปรับเปลี่ยนระบบเดิมให้ปลอดภัยมากขั้นเยอะเลย

*** firebug นี่ตัวปัญหาที่สุด input:hidden นี่ไม่ปลอดภัยเลย
 

[Reality]

ถ้าอยากเช็คว่าคอมเดียวกันรึเปล่า ต้องใช้ Cookie ถูกแล้วครับ

คุณจะใช้มันยังไง ขึ้นอยู่กับว่าใช้หัวคิดมากแค่ไหน
เพราะผู้ใช้ก็มีสิทธิ์แก้คุ๊กกี้ได้เช่นกัน

คิดให้มากๆ ไว้ แล้วก็เก็บให้เงียบๆ เพราะไอเดียสำหรับคนจะแฮก ก็คือไอเดียของผู้ที่เขียนระบบ

[mixture]

ถ้าตามหัวข้อ ก็ใช้ cookie เก็บแค่ session id ครับ ค่าที่เหลือให้ไป query กับ database อีกที แบบที่คุณ icez บอก

codeigniter ก็ใช้วิธีนี้ในการเก็บข้อมูล แต่ถ้าบอกว่าจะไม่ใช้ cookie เลย มันก็ remember me ไม่ได้ครับ เพราะเหลือแต่ session ปิด browser ไป ค่า session ก็เปลี่ยนแล้ว

[GillBate]

  อย่างนี้นี่เอง

[Tee++;]

Zend Session คือคำตอบเลยครับ ใช้วิธีการเก็บ session ID ใน cookie แล้วไป Clone session data ขึ้นมาใหม่