Domov arrow 2. PHP arrow 2.15 Piškotki in seje arrow 2.15.1 Kaj so seje in kako delujejo


2.15.1 Kaj so seje in kako delujejo Natisni E-pošta
PHP uporablja seje za zagotavljaje stalnosti na spletnih straneh (npr. da si zapomni uporabnika pri postopku nakupa v spletni trgovini). To naredi tako, da shrani naključni določevalec (identifikator) na spletni strežnik in piškotek (ang. cookie) na uporabnikov računalnik. Spletni strežnik uporablja piškotek za prepoznavanje, da se sporazumeva z istim računalnikom. Piškotek shranjen v brskalniku se imenuje PHPSESSID in njegova vsebina je mešanica črk in številk (32-številčno šestnajstiško število). Ustrezajoča datoteka, ki vsebuje isto zaporedje črk in številk kot del datotečnega imena, je ustvarjena na spletnem strežniku.

Ko je seja začeta, strežnik shrani informacije v sejine spremenljivke, ki so dostopne drugim stranem toliko časa, dokler je seja aktivna (ponavadi dokler je brskalnik odprt). Ker je določevalec edinstven za vsakega uporabnika, informacije shranjene v sejinih spremenljivkah ne morejo biti vidne nobenemu drugemu uporabniku. Seje so idealne za overovljenje (avtentikacijo) uporabnika, čeprav se lahko uporabljajo povsod tam, kjer želiš ohraniti informacije za istega uporabnika, ko prehaja iz ene strani na drugo, kot v primeru večstranskega obrazca ali nakupovalne košarice.

Edina informacija, ki je shranjena na uporabnikovem računalniku, je piškotek, ki vsebuje določevalec, ki sam po sebi nima pomena. To pomeni, da ni nevarnosti izpostavljanja zasebnih podatkov v primeru, ko bi nekdo drug pregledal vsebino piškotka na deljenem (skupnem) računalniku.

Sejine spremenljivke in njihove vrednosti so shranjene na spletnem strežniku v navadni tekstovni datoteki. Piškotek, ki vsebuje določevalec, je običajno aktiven, dokler se brskalnik ne zapre. Če več uporabnikov uporablja isti računalnik, imajo vsi dostope do sej od drugih, razen če vedno ne zaprejo brskalnika. Nad tem nimamo nadzora. Zato je potrebno zagotoviti odjavni mehanizem, ki bo zbrisal tako piškotek kot sejine spremenljivke in ohranil spletno mesto varno. Lahko se naredi tudi časovno omejitev, ki samodejno prepreči ponovno pridobitev dostopa po določenem času nedejavnosti.

Dejstvo, da so sejine spremenljivke shranjene v navadni tekstovni datoteki na spletnem strežniku, samo po sebi ni vzrok za skrb. Dokler je strežnik pravilno nastavljen, sejine datoteke ne morejo biti dostopne skozi brskalnik. Neaktivne datoteke so tudi rutinsko zbrisane s strani PHP-ja. Vseeno pa je očitno, da če napadalec ogrozi strežnik ali ugrabi sejo, je informacija odkrita. Čeprav so seje na splošno dovolj varne za varovanje določenih strani, ki so dostopne z geslom, se vseeno sejinih spremenljivk ne sme uporabljati za shranjevanje občutljivih podatkov,  kot so gesla in podrobnosti o kreditnih karticah. Čeprav se geslo uporablja za pridobitev dostopa do zaščitenega mesta, naj bo geslo samo shranjeno (po možnosti šifrirano) na ločenem mestu in ne kot sejina spremenljivka.
Seje so že privzeto podprte, tako da ni potrebnega kakšnega posebnega nastavljanja. Ker  pa seje temeljijo na piškotkih, seje ne bodo delovale, če so piškotki onemogočeni v uporabnikovem brskalniku.
 


© 2007-2008 PHP, MySQL, XML, OOP, varnost