Guardar sesiones en ficheros del servidor o en base de datos?

neodani · #1 (**permalink**) 20/04/2010, 16:22

Buenas,

Qué recomiendan utilizar, que las sesiones se guarden en ficheros temporales del servidor (creo tengo entendido, que esta opción es la que viene por defecto) se crean sesiones y cuando expiran se borra el fichero automaticamente del servidor.
O hacerlo almacenándolas en una base de datos?

Qué me aconsejan? La web que estoy diseñando bien podría tener las mismas visitas que un foro concurrido.

Muchas gracias de antemano!

Hidek1 · #2 (**permalink**) 20/04/2010, 16:33

a que te refieres con eso?... si quieres registro de usuario es obio que base de datos.. con sessiones no puedes guardar para siempre un registro.. excepto crees archivos aparte con los datos (poco recomendable)

TheoriaX · #3 (**permalink**) 20/04/2010, 16:51

si es mejor k los guardas en la base de datos.. mas konfiable y te ahorras mas trabajo

mortal2008 · #4 (**permalink**) 20/04/2010, 16:56

Pués creo que lo más seguro es que las guardes en la base de datos, así las controlas mejor (por ejemplo las puedes asociar a las IPs en vez de crear cookies con la ID de la sesion en la máquina del visitante y de esta forma nadie podrá robar sesiones, aunque al cambiar las IPs dinámicas se perderían los datos).

El problema de las sesiones en la base de datos es ¿cómo las borras? Tendrías que crear un programita para que elimine las que esten caducadas de vez en cuando para que no se acumulen(en Windows es fácil, en Linux menos) o hacer un administrador y limpiarlas cada cierto tiempo. Pero seguro que es más seguro.

Las sessiones con archivos en el servidor y cookies en el ordenador del visitante son lo más fácil pero "gente mala" puede robar IDs de sesiones de otras personas y asignarselas a ellos, de esta forma pudiendo sacar datos confidenciales, aunque hay métodos para prevenir esto(por ejemplo, al abrir sesion crear un $_SESSION["user_ip"] = IP_DEL_USUARIO y cada vez que se haga una operacion con variables guardadas en las sesiones que se compruebe que la IP del usuario es la guardada en la sesion.

Depende de que tipo de sitio estas creando.

neodani · #5 (**permalink**) 20/04/2010, 23:50

Más que nada quería saber vuestra opinión con el tema del manejo de las sesiones, es que he visto los dos escenarios en el trabajo, y guardar las sesiones en ficheros del servidor me parece bastante engorroso, pero si las guardo en la base de datos esta sufrirá con tantas consultas!

Sigo confuso, como las tenéis implementadas vosotros? en bbdd?

Muchas gracias

Hidek1 · #6 (**permalink**) 21/04/2010, 07:22

no te preocupes por hacerle consultas a la base de datos.. mientras estas sigan un esquema ordenado nunca sera mucho.. (para eso estan diseñadas...)

Carxl · #7 (**permalink**) 21/04/2010, 07:52

Cita:

Iniciado por neodani

Sigo confuso, como las tenéis implementadas vosotros? en bbdd?

No sé si te refieres a que deseas guardar la sesión del usuario así cierre el navegador, ó que simplemente tienes duda de como se usan las sesiones.

Las sesiones simplemente se usan con $_SESSION y duran mientras el usuario esté activo en la página, y para eso, para que funcione no hay que guardar nada en ningún lado.

Saludos

neodani · #8 (**permalink**) 21/04/2010, 09:11

Cita:

Iniciado por Carxl

No sé si te refieres a que deseas guardar la sesión del usuario así cierre el navegador, ó que simplemente tienes duda de como se usan las sesiones.

Las sesiones simplemente se usan con $_SESSION y duran mientras el usuario esté activo en la página, y para eso, para que funcione no hay que guardar nada en ningún lado.

Saludos

Me refería a si era mejor manejar las sesiones contra una base de datos.

http://www.php.net/manual/en/functio...ve-handler.php

Ejemplo sacado de ahí.

Código PHP:

Ver original<?php
  class SessionDB {
    private $data=null;
    private $session_id=null;
    private $minutes_to_expire=3600; // TIME TO MAINTAIN DATA ON DB
   
    public function __construct(){
      global $SESSION;
     
      if (isset($_COOKIE['session_id'])){
        $this->session_id = $_COOKIE['session_id'];
      } else {
       
        $this->session_id = md5(microtime().rand(1,9999999999999999999999999)); // GENERATE A RANDOM ID
       
        setcookie('session_id',$this->session_id);
       
        $sql = "INSERT INTO `tb_session_db` (`session_id`, `updated_on`) VALUES ('{$this->session_id}', NOW())";
        mysql_query($sql);
      }
     
      $sql = "SELECT `value` FROM `tb_session_db` WHERE `session_id`='{$this->session_id}'";
      $query = mysql_query($sql);
     
      $this->data = unserialize(mysql_result($query, 0, 'value'));
      $SESSION = $this->data;
    }
   
    private function expire(){
      $date_to_delete = date("Y-m-d H:i:s", time()-60*$this->minutes_to_expire);
      $sql = "DELETE FROM `tb_session_db` WHERE `update_on` <= '$date_to_delete'";
      mysql_query($sql);
    }
   
    public function __destruct(){
      global $SESSION;
     
      $this->data = serialize($SESSION);
     
      $sql = "UPDATE `tb_session_db` SET `value`='{$this->data}', `updated_on`=NOW() WHERE `session_id`='{$this->session_id}'";
      mysql_query($sql);
     
      $this->expire();
    }
  }
 
/*
TABLE STRUCTURE
  CREATE TABLE IF NOT EXISTS `tb_session_db` (
    `session_id` varchar(32) NOT NULL,
    `value` blob,
    `updated_on` datetime DEFAULT NULL,
    PRIMARY KEY (`session_id`)
  ) ENGINE=MyISAM DEFAULT CHARSET=latin1;
*/
?>
 
With this file included, connected to MySQL database who has the table `tb_session_db` I can easy do that into my config file:
 
<?php
  require_once('session_db.php');
 
    define('MYSQL_HOST','mysql.example.com');
    define('MYSQL_USER','.......');
    define('MYSQL_PASS','.......');
    define('MYSQL_BASE','.......');
   
    mysql_connect(MYSQL_HOST, MYSQL_USER, MYSQL_PASS) or die('Cannot connect');
    mysql_select_db(MYSQL_BASE) or die('Cannot select DB');
    mysql_set_charset('utf8_general_ci');
   
  $SESSION = null;
  global $SESSION;
  $session_db = new SessionDB();
?>

Muchas gracias de antemano!