usando sessiones y cookies

kaslierx · #1 (**permalink**) 21/03/2003, 12:16

Buenas:

Tengo un script de autentificacion de usuarios y uso este codigo:

Código PHP:

  session_name('sid');

session_start();

session_register('identificacion');

$identificacion=$username;

 
// Metemos la session en una cookie

$session = Session_id();

setcookie("sid", $session, time()+(31536000*100), "/", "cybertatu.net", "");

Todo funciona bien, pero cuando el cliente cierra el navegador se borra la cookies, entonces quiero que esto no pase, es decir que el usuario aunque apague el ordenador siga teniendo la cookies activada. ¿Se puede hacer? Como lo hace el PHP-NUKE?

Gracias

Cluster · #2 (**permalink**) 21/03/2003, 13:28

Lo que guardas en la COOKIE es SOLO el SID .. el nombre+id de la session pero NO sus datos .. los datos de la sesion permamenten en el servidor .. y segun tenga configurador el tema de las directivas session.gc_maxlifetime y otras .. durará mas o menos tiempo la session en el servidor activa para ese SID unico que se genera en cada uso de session_start() si no le llega un SID valido con el que continuar ..

Eso mismo que estas haciendo "manualmente" lo hace PHP por tí si usas las directivas:
session.use_cookies = 1
session.cookie_lifetime = 0

(ambas se pueden ajustar definitivamente via php.ini o ini_set() en tiempo de ejecución) ..

Si llegases a combinar ambos tiempos de expiración del SID en la cookie con el gc_maxlifetime .. podrias simular ese efecto de "continuar con el la sesion abierta" ..

Eso no es recomendable .. hacerlo así .. Imagina que por A o B motivo me "progagas" el SID en un link o lo que sea a otra sitio web fuera del tuyo .. Es probable que si entro con ese SID que he capturado en mi sitio via un httreferer por ejemplo pueda entrar a tu sistema como usuario activo y autorizado ..

Hay mas directivas y formas de eviatar propagar el SID (una de ellas es usar y forzar a usar cookies para propagar el SID . esto si te topas con un navegador que no use cookies o no las acepte no va a poder usar tu sistema ..)

En resumen .. En sistemas tipo "recordad contraseña del usuario para otra vez q entre al sitema" .. Lo que se hace es guardar en una cookie los datos de usuario/password (el password por lo menos encriptado en MD5() o otros algoritmos ..) Tu sistema mira si está definida la cookie en el cliente con los valores correspondientes .. si es así .. autentifica al usuario y crea la session en el servidor .. continuando su uso y su navegación por el sitio via los datos de la session .. Si no está esa cookie en el cliente . .se le pide "login" como de contumbre .. A su vez si quieres puedes ofrecer al usuario si quiere usar esa modalidad de "identificarme siempre" (guardando la cookkie) o no .. (tal cual lo hace estos foros por ejemplo ..)

Un saludo,