Variables de sesion: ¿distintos valores en distintas ventanas?

davidj · #1 (**permalink**) 08/12/2010, 08:42

Hola!

Hace tiempo que tengo una duda en cuanto a la seguridad de webs...

Imaginad que un administrador de una web entra en su panel de administración donde puede efectuar diferentes operaciones (controlar usuarios registrados, actualizar la web, etc.) y luego abre una nueva ventana en el navegador y vuelve a acceder de nuevo al panel de control. El resultado es que ahora, el administrador tiene dos ventanas abiertas en el navegador con el mismo panel de administración y por tanto el valor de las variables de sesión se mezclarán de una ventana a otra.

¿como puedo evitar que si el administrador abre diferentes ventanas con el mismo panel no se mezclen los valores de las variables de sesión?

Un saludo!!

acumulador · #2 (**permalink**) 08/12/2010, 08:46

Y si controlas las ventanas que puede abrir??
O simplemente no permites iniciar sesion mas de una vez.
Al iniciar sesion almacenas un valor en una tabla o en una variable, luego si quieren iniciar nuevamente sin cerrar pues nada muestra un mensaje de error; creo que esa es la mejor opción.

areslepra · #3 (**permalink**) 08/12/2010, 08:47

Como es eso de que se mezclan? el objecto $_SESSION es un arreglo único para cada sessión. La única forma de hacer esa "mezcla" que dices en pasando el id de la sessión por get/post lo cual esta totalmente desaconsejado.

areslepra · #4 (**permalink**) 08/12/2010, 08:53

Sino podemos hablar de cookies o de guardar las sessiones en un archivo o BD para devolver siempre la misma sessión.

davidj · #5 (**permalink**) 08/12/2010, 09:13

Cita:

Iniciado por acumulador

Y si controlas las ventanas que puede abrir??
O simplemente no permites iniciar sesion mas de una vez.
Al iniciar sesion almacenas un valor en una tabla o en una variable, luego si quieren iniciar nuevamente sin cerrar pues nada muestra un mensaje de error; creo que esa es la mejor opción.

Umm, si pero no es tan sencillo como parece, por ejemplo, imagina que tengo una web con carrito de la compra y el usuario va añadiendo productos, pero entonces, decide abrir una nueva ventana con la misma URL y añade otras cosas. Ahora el usuario tiene dos ventanas, la primera con, por ejemplo, 2 productos y la otra con, 5 pero a la hora de guardar se dirige a la primera y guarda, lo que guardará no será 2 productos, será los 5 productos!! ya que en la última ventana ha elegido 5 y las variables de sesión guardan el último valor pasado.

¿Como controlar esto, ya que el usuario solo ha tecleado una url, sin pasar por login (puesto que se ha logueado con anterioridad)?

areslepra · #6 (**permalink**) 08/12/2010, 09:26

Otra opción es trabajar un poco pasando la id de la sessión por GET y con la función session_regenerate_id cambiamos esa id en cada página. Prueba con eso y nos cuentas si lo puede solucinar.

davidj · #7 (**permalink**) 08/12/2010, 15:08

Si pero pasar la sesion por id no es un sistema aconsejado...