Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Сессии vs куки

 PHP.SU

Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (2): [1] 2 »   

> Описание: Подискутируем?
Eazy-E
Отправлено: 13 Ноября, 2011 - 12:03:25
Post Id



Гость


Покинул форум
Сообщений всего: 88
Дата рег-ции: Сент. 2011  
Откуда: Анапа


Помог: 0 раз(а)




Собственно, задался вопросом - что лучше использовать для аутентификации юзеров в двиге. Заморочился с этим вопросом конкретно. При глубоком "анализе" проблемы получилась палка о двух концах.

Куки хранятся на компьютере пользователя. Куки можно подделать, можно спереть - небезопасно.

Сессии хранятся на сервере. айди сессии хранится в куках - отключаемо. Айди передается в URL - небезопасно, но отключаемо.

Но вот некоторые товарищи говорят, что наличие около 10000 файлов сессий может запросто загнуть shared хостинг. Правда? А если посещаемость 100000 хостов в сутки * 7 дней (время жизни сессии, к примеру) * 5 кб каждая сессия. Короче, народ, я совсем запутался.. О великие гуру, просветите меня! Радость

Хочется чтобы движок был безопасен, и в то же время был производительным. Где компромисс между использованием куков и сессий?!


-----
Новое всегда пугает — даже того, кто это новое создает.
(RZA)
 
 Top
Данил_123
Отправлено: 13 Ноября, 2011 - 12:07:25
Post Id


Участник


Покинул форум
Сообщений всего: 1026
Дата рег-ции: Июнь 2011  
Откуда: rostov


Помог: 9 раз(а)




Eazy-E Сессии по умолчанию, работают через cookies.. так как куки бывает выключен.. В куке можно хранить информацию, например посещение, голосовалки и т.п.. Авторизацию лучше делать на основе сессий

(Отредактировано автором: 13 Ноября, 2011 - 12:11:23)



-----
http://mysitecost.ru
 
 Top
Eazy-E
Отправлено: 13 Ноября, 2011 - 12:12:07
Post Id



Гость


Покинул форум
Сообщений всего: 88
Дата рег-ции: Сент. 2011  
Откуда: Анапа


Помог: 0 раз(а)




Данил_123, спасибо, забыл дописать про то что куки могут быть отключены. Голосование если и делать на основе куков, то только лучше для гостей. Для зареганых пользователей лучше хранить информацию в бд. Однако это уже другой вопрос. Мне вот все таки инересно, реально ли 10000 сессий могут положить shared? Извиняюсь, что впадаю в крайности. Интересно просто.


-----
Новое всегда пугает — даже того, кто это новое создает.
(RZA)
 
 Top
Данил_123
Отправлено: 13 Ноября, 2011 - 12:13:07
Post Id


Участник


Покинул форум
Сообщений всего: 1026
Дата рег-ции: Июнь 2011  
Откуда: rostov


Помог: 9 раз(а)




Данил_123 пишет:
так как куки бывает выключен

(Отредактировано автором: 13 Ноября, 2011 - 12:13:20)



-----
http://mysitecost.ru
 
 Top
Stierus Супермодератор
Отправлено: 13 Ноября, 2011 - 12:13:46
Post Id



Рекордсмен по количеству сообщений за 7 дней


Покинул форум
Сообщений всего: 2132
Дата рег-ции: Дек. 2008  
Откуда: Москваль


Помог: 52 раз(а)




используйте сессии Улыбка Если будут проблемы с количеством файлов - перенесете хранение сессий в бд ... не решайте проблему до ее наступления, предусмотреть все - невозможно, выбирайте наиболее универсальные, гибко настраиваемые варианты, в вашем случае - это сессии
 
My status
 Top
Данил_123
Отправлено: 13 Ноября, 2011 - 12:14:59
Post Id


Участник


Покинул форум
Сообщений всего: 1026
Дата рег-ции: Июнь 2011  
Откуда: rostov


Помог: 9 раз(а)




Eazy-E пишет:
Мне вот все таки инересно, реально ли 10000 сессий могут положить shared?
зависит от настроек


-----
http://mysitecost.ru
 
 Top
Eazy-E
Отправлено: 13 Ноября, 2011 - 12:18:57
Post Id



Гость


Покинул форум
Сообщений всего: 88
Дата рег-ции: Сент. 2011  
Откуда: Анапа


Помог: 0 раз(а)




Stierus, спасибо, я наверно скоро с ума сойду по поводу сессий и куков. Наверно уже все перечитал про это, что только можно...

Данил_123 пишет:

зависит от настроек


Опять же, как я понимаю, работа скрипта с куками пользователя тоже использует ресурсы сервера..


-----
Новое всегда пугает — даже того, кто это новое создает.
(RZA)
 
 Top
Stierus Супермодератор
Отправлено: 13 Ноября, 2011 - 12:23:20
Post Id



Рекордсмен по количеству сообщений за 7 дней


Покинул форум
Сообщений всего: 2132
Дата рег-ции: Дек. 2008  
Откуда: Москваль


Помог: 52 раз(а)




Eazy-E, не вижу причин для беспокойства Улыбка Что именно смущает-то ? Количество файлов в одной папке? Так вы можете написать свои сессионные хэндлеры и помещать сессионные файлы в разных папках, как вам заблагорассудится. это какраз та тема, о которой париться надо ровно тогда, когда начинаются проблемы.
 
My status
 Top
Данил_123
Отправлено: 13 Ноября, 2011 - 12:32:58
Post Id


Участник


Покинул форум
Сообщений всего: 1026
Дата рег-ции: Июнь 2011  
Откуда: rostov


Помог: 9 раз(а)




Eazy-E пишет:
Опять же, как я понимаю, работа скрипта с куками пользователя тоже использует ресурсы сервера..
не сильно..Сильно сомневаюсь что вы будете конкурентом(facebookа или твитера), тогда будет заметны нагрузки


-----
http://mysitecost.ru
 
 Top
Eazy-E
Отправлено: 13 Ноября, 2011 - 12:33:06
Post Id



Гость


Покинул форум
Сообщений всего: 88
Дата рег-ции: Сент. 2011  
Откуда: Анапа


Помог: 0 раз(а)




Stierus, спасибо, про собственные папки для хранения сессий я знаю (более того, так и собирался делать). Но блин, хочется все (или хотя бы то, что может реально случится) предусмотреть. Вот, кстати, еще вопрос возник. Чем опасно хранение PHPSESSID в куках? У меня сейчас отключено. Но вот интересная вещь получается: обновляю страницу - браузер выводит сообщение "вы зарегистрированы", вроде все правильно, так и должно быть. Но в папке с сессиями после каждого обновления страницы появляется новая сессия - это нормально?! Или я чего-то намутил? Неактуально. Это я намутил Улыбка
(Добавление)
Данил_123 пишет:
не сильно..Сильно сомневаюсь что вы будете конкурентом(facebookа или твитера), тогда будет заметны нагрузки

н
Ахаха, ни в коем случае Подмигивание Только facebook и twitter это хай лоад проекты, и там используется распределение нагрузки, один сервер для mysql, другой для memcached и тд. Думаю если мой двиг будут использовать для хай лоад проекта, то проблем быть не должно Радость

(Отредактировано автором: 13 Ноября, 2011 - 12:48:26)



-----
Новое всегда пугает — даже того, кто это новое создает.
(RZA)
 
 Top
Данил_123
Отправлено: 13 Ноября, 2011 - 12:47:52
Post Id


Участник


Покинул форум
Сообщений всего: 1026
Дата рег-ции: Июнь 2011  
Откуда: rostov


Помог: 9 раз(а)




Eazy-E если наши двиги использовались бы на их уровнях, серверки одна за одной горели


-----
http://mysitecost.ru
 
 Top
caballero
Отправлено: 13 Ноября, 2011 - 12:47:55
Post Id


Активный участник


Покинул форум
Сообщений всего: 5998
Дата рег-ции: Сент. 2011  
Откуда: Харьков


Помог: 126 раз(а)




Цитата:
Вот, кстати, еще вопрос возник. Чем опасно хранение PHPSESSID в куках?


Ничем не опасно. Миллионы сайтов работают с сессиями которые за редким исключением используют куки. Просто работай с сесией - остальное забота сервера. Вопрос выеденного яйца не стоит


-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore
 
 Top
Stierus Супермодератор
Отправлено: 13 Ноября, 2011 - 12:53:13
Post Id



Рекордсмен по количеству сообщений за 7 дней


Покинул форум
Сообщений всего: 2132
Дата рег-ции: Дек. 2008  
Откуда: Москваль


Помог: 52 раз(а)




Eazy-E пишет:
Чем опасно хранение PHPSESSID в куках?

А какие более безопасные варианты вы знаете? По мне - так это самый безопасный Улыбка
 
My status
 Top
Eazy-E
Отправлено: 13 Ноября, 2011 - 12:55:16
Post Id



Гость


Покинул форум
Сообщений всего: 88
Дата рег-ции: Сент. 2011  
Откуда: Анапа


Помог: 0 раз(а)




Stierus, не знаю.. Может я тупой, и чего-то еще недопонимаю, но вот вставил хеш сессии из FF в Opera - написал "вы авторизованы". Гхм.. Думаю нужно еще и user agent в сессию записывать..


-----
Новое всегда пугает — даже того, кто это новое создает.
(RZA)
 
 Top
Stierus Супермодератор
Отправлено: 13 Ноября, 2011 - 12:55:28
Post Id



Рекордсмен по количеству сообщений за 7 дней


Покинул форум
Сообщений всего: 2132
Дата рег-ции: Дек. 2008  
Откуда: Москваль


Помог: 52 раз(а)




Цитата:
Думаю если мой двиг будут использовать для хай лоад проекта, то проблем быть не должно
Ваш двиг разработан для разнесения на рызные сервера? Хотя сори, это риторический вопрос
(Добавление)
Цитата:
Stierus, не знаю.. Может я тупой, и чего-то еще недопонимаю, но вот вставил хеш сессии из FF в Opera - написал "вы авторизованы". Гхм.. Думаю нужно еще и user agent в сессию записывать..
Если вы передаете session_id серверу - вы ожидаете увидеть что-то другое? если айди сессии сперли (не важно, из кук или из строки запроса (отсюда спереть прощеУлыбка ) - вам нужны либо дополнительные проверки на стороне сервера, либо смириться, но это не имеет отношения к вопросу, где хранить айди сессии, это вопрос, нужны ли дополнительне проверки на стороне сервера и, если нужны, то какие?
 
My status
 Top
Страниц (2): [1] 2 »
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Вопросы новичков »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
 



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB