Criptografia em Session

removido
(usa Nenhuma)

Enviado em 05/10/2005 - 00:41h

Outro dia esta conversando sobre session em PHP com um amigo meu, e o mesmo disse que criptografava suas sessões. Eu sei que os dados de sessão são gravados em cookies, mas é realmente eficaz criptografar sessão ?

removido
(usa Nenhuma)

Enviado em 05/10/2005 - 19:01h

Na verdade, os valores das sessões não são armazenadas nos cookies. Apenas a sua "chave de identificação". :-)
Se não me engano, os valores das sessões são guardados no próprio servidor.

Corrijam-me se eu estiver errado. ;-)

redstyle
(usa Ubuntu)

Enviado em 06/10/2005 - 10:52h

Isso mesmo somente a chave que identifica a session que é guardado em cookie.

Agora uma pergunta. Desabilitei completamente os cookies do navegador (IE) e o mesmo não grava session de jeito nenhum.

Como resolver isso, já que tem gente que ainda morre de medo de um simples cookie gravado em seu micro?

Sei que tem um esquema de PHPSESSID que contém o hash de identificação da sesion e que posso prologar por GET.

Mas como verifico o GET na minha aplicação ?

$_GET['PHPSESSID'] == session_id() ???? Somente isso?

removido
(usa Nenhuma)

Enviado em 06/10/2005 - 13:24h

Para não ter que usar o cookie, você passa o ID da sessão como parâmetro na URL, exemplo: pagina.php?PHPSESSID=id_da_sessão (o PHPSESSID é o default, mas pode ser mudado)

Você pode mudar no php.ini o valor de session.use_cookies, deixando 0. Assim, ele não usará cookies para gravar o ID da sessão no lado do cliente.

O ruim disso, é ter que colocar em todas URLs algo como: "<a href=\"minhapagina.php?PHPSESSID=" . SID . "\">Página</a>". A constante SID é pré-definida e contém o ID da sessão.

Uma solução: compilar o PHP com a opção --enable-trans-sid, que faz com que as URIs ligadas sejam automaticamente mudadas para conter a id de sessão.

Mais informações em: http://br.php.net/manual/pt_BR/ref.session.php :-)

[]'s

lsouza_ufla
(usa Kurumin)

Enviado em 16/12/2007 - 11:44h

Eu já trabalho com SESSAO mas não entendia como poderia ser usado sem o identificador no cookie.
E não sabia da existência da SID.

Muito legal mesmo!

Valeu.