• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Сессии или Cookie?

  • Автор темы realmadrid
  • Дата начала
Статус
Закрыто для дальнейших ответов.
R

realmadrid

Здравствуйте!
Я ничинающий программист и о безопасности своих сайтов задумался совсем недавно. Скажите пожалуйста, что лучше использовать - сессии или cookie? Эти подходы чем нибудь различаются? Насколько я понял, и там, и там создаются переменные, которые затем можно проверять через суперглобальный массив.
 
A

Artexoid

Сессии конечно используй.. Вся конфиденциальная информация храниться на сервере и никто её не спионерет..

В случае с Куками конфиденциальная информация храниться на клиенте и туда сюда всё время передается, могут стырить.. Да и любой имеющий доступ к браузеру позже сможет залезть и прочесть в Куках конфиденциальную инфу.. Если Куки выключены (а такое вполне может быть) то весь твой ф-онай на них основанный вообще работать не будет ))!

session_start(); запускает сессию

$_SESSION['имя переменной']; работа с переменной.

session_destroy(); уничтожает сессию.

Более подробно всегда найдёшь использую yandex.ru. Один запрос и куча инфы вылезет с примерами!!!
 
A

aka_Kail

Если только не хочешь сделать вход на сайт автоматическим, пользуй сессии.

а если всё таки нужны куки - шифруй важные параметры - пароль, например.
прочти про функции php: md5 и sha1
 
G

garrymax

У куков есть еще одна проблема, которая в пользу сессий:

Куки (как и сессии), это информация, которая передается в заголовке запроса, перед телом страницы, которую можно сохранить в виде файла.

Разница в том, что сессии хранят информацию на сервере, а куки на компе пользователя и последнее определяется броузером. Уровень безопасности или сам пользователь может запретить браузеру использовать куки. В этом случае никакие данные не смогут быть записаны.

Сессиями управляет строго твой серверный код на странице и их работа гарантирована.

Дополнительно, сессия открывается для каждого окна браузера отдельно, как отдельный сеанс, а значит можно использовать это при работе с двумя пользователями.
 
A

aka_Kail

Согласен. Насчет Гарантированной работы сессий.

Но... Так ли трудно попросить пользователя перед регистрацией на сайте включить cookie ?

Куки используют в основном для облегчения последующих заходов на сайт, кстати, как и на этом форуме ;)

И обычно в них не хранят важной инфы, за исключением зашифрованного пароля. Все остальные данные легко можно вытянуть из базы данных.
 
Статус
Закрыто для дальнейших ответов.
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ