Авторизация без кукисов!

@crazyhacker · Регистрация: 25.08.2010

Author24 — интернет-сервис помощи студентам

Возможно такое?

@sl_play · 09.10.2010, 23:16

где-то же нужно прописать юзверя. Обычно это делается в бд, хранится личная информация и т.д.

@karbon · 10.10.2010, 02:12

Конечно возможна. Когда браузер клиента не принимает куки, то например php сессия просто дописывает идентификатор пользователя к каждой ссылке...

@sl_play · 10.10.2010, 12:20

если тебе нужен идентификатор сессии, то его нужно читать не из ссылок, а из session_id()

@karbon · 10.10.2010, 20:06

насколько я понял вопрос не в получении id сессии, а в передаче его между скриптами без использования куков

@abel · 11.10.2010, 00:55

насколько я помню в php.ini указывается, либо id передаётся методом get, либо post, и ни в каких кукисах не участвует

@karbon · 11.10.2010, 02:57

Из мануала:
Есть два метода хранения session id: куки и параметр URL

)

@abel · 11.10.2010, 09:01

читал я мануал (и проверял, вплоть до поиска на винте), и половина параметров работает не так, как ожидалось, поэтому перед тем как использовать информацию (в том числе и из мануала), я её проверяю

@karbon · 11.10.2010, 11:31

это-то понятно, но глупости типа того что id сессий передается только методами get и post

не стоит говорить...

@karbon · 11.10.2010, 11:37

abel, и приведи пример, если не сложно, (а раз ПОЛОВИНА параметров работает не так, как написано, это не должно предоставлять для тебя сложности), где официальный мануал на php.net не соответсвует действительности?!

@abel · 11.10.2010, 11:43

сперва насчет глупости:

; trans sid support is disabled by default.
; Use of trans sid may risk your users security.
; Use this option with caution.
; - User may send URL contains active session ID
; to other person via. email/irc/etc.
; - URL that contains active session ID may be stored
; in publically accessible computer.
; - User may access your site with the same session ID
; always using URL stored in browser's history or bookmarks.
session.use_trans_sid =

попробуй найти id сессии, если значение параметра 0

@abel · 11.10.2010, 11:46

хорошо, например с кукисами теми же самыми или, например, с переменными окружения Apache
посмотрю я как у тебя будет работать без сучка и задоринки
сейчас просто влом лесь в мануал и говорить какие именно функции и параметры, но если сегодня себя осилю - обязательно напишу

@abel · 11.10.2010, 11:51

а насчет метода post - это предположение, поскольку ни в каких кукисах я не нашёл id сессии

@karbon · 11.10.2010, 12:38

Зачем что-то предполагать, если механизм сессий достаточно полно описан и прекрасно работает. Повторяю еще раз, есть всего два способа передачи id: через куки(оптимальный и наиболее часто используемый) и второй, когда браузер клиента не приимает куки, посредством добавления id во все относительные ссылки, если ссылка начинается с http:// то id не добавляется. При наличии форм, в последнем случае, добавляются поля hidden cо значением id сессии(это как и будет твой пресловутый post).
Разумеется, существует возможность принудительного включения того или иного способа передачи id. Если принудительно включен второй способ, то искать id в куках не имеет смысла.

@bazile · 11.10.2010, 13:05

id сессии хранится во временных cookie, которая дествительна пока не закрыт браузер. Эти куки не сохраняются на диск, а хранятся в памяти.

@abel · 11.10.2010, 13:14

2 karbon:

насчет существования возможности принудительного включения того или иного способа передачи id, он действует всегда принудительно, только включен по-умолчанию способ передачи не через урл.
при чём тут добавление поля с типом hidden при использовании форм??
я говорил о передаче id сессии не с участием разработчика, а в зависимости от настроек пхп.
если id сессии передается не через урл, то остаются либо кукисы либо передаче параметра без отображения в урл (post), либо с участием какого-то хранилища (например базы)
есть смысл записывать id сессии в базу данных и соответственно читать его из базы (как и говорил sl_play)
поэтому чушь то, что существует всего два способа передачи id сессии

другое дело что кукисы хранятся все в памяти браузера, это объясняет отсутствие id сессии на диске

@abel · 11.10.2010, 13:15

2 karbon:

насчет существования возможности принудительного включения того или иного способа передачи id, он действует всегда принудительно, только включен по-умолчанию способ передачи не через урл.
при чём тут добавление поля с типом hidden при использовании форм??
я говорил о передаче id сессии не с участием разработчика, а в зависимости от настроек пхп.
если id сессии передается не через урл, то остаются либо кукисы либо передаче параметра без отображения в урл (post), либо с участием какого-то хранилища (например базы)
есть смысл записывать id сессии в базу данных и соответственно читать его из базы (как и говорил sl_play)
поэтому чушь то, что существует всего два способа передачи id сессии

другое дело что кукисы хранятся все в памяти браузера, это объясняет отсутствие id сессии на диске

@abel · 11.10.2010, 13:17

сорри, запутался в окнах, глаза уже в кучу

@abel · 11.10.2010, 13:17

сорри, запутался в окнах, глаза уже в кучу

@karbon · 12.10.2010, 22:45

2 abel:
Почитай про работу сессий, и не пиши всякую чушь!

P.S.
Поле hidden, в формах, со значением id сессии добавляется без участия разработчика! (в случае когда браузер не принимает куки).

@abel 0 / 0 / 2 Регистрация: 20.07.2010 Сообщений: 52
	11.10.2010, 13:17	18
	сорри, запутался в окнах, глаза уже в кучу 0

@abel 0 / 0 / 2 Регистрация: 20.07.2010 Сообщений: 52
	11.10.2010, 13:17	19
	сорри, запутался в окнах, глаза уже в кучу 0

@crazyhacker 0 / 0 / 0 Регистрация: 25.08.2010 Сообщений: 9
		1
	Авторизация без кукисов! 09.10.2010, 22:19. Показов 3524. Ответов 22 Метки нет (Все метки) Возможно такое? 0

@sl_play 4 / 4 / 3 Регистрация: 25.05.2009 Сообщений: 2,576
	09.10.2010, 23:16	2
	где-то же нужно прописать юзверя. Обычно это делается в бд, хранится личная информация и т.д. 0

@karbon 0 / 0 / 1 Регистрация: 03.08.2009 Сообщений: 72
	10.10.2010, 02:12	3
	Конечно возможна. Когда браузер клиента не принимает куки, то например php сессия просто дописывает идентификатор пользователя к каждой ссылке... 0

@sl_play 4 / 4 / 3 Регистрация: 25.05.2009 Сообщений: 2,576
	10.10.2010, 12:20	4
	если тебе нужен идентификатор сессии, то его нужно читать не из ссылок, а из session_id() 0

@karbon 0 / 0 / 1 Регистрация: 03.08.2009 Сообщений: 72
	10.10.2010, 20:06	5
	насколько я понял вопрос не в получении id сессии, а в передаче его между скриптами без использования куков 0

@abel 0 / 0 / 2 Регистрация: 20.07.2010 Сообщений: 52
	11.10.2010, 00:55	6
	насколько я помню в php.ini указывается, либо id передаётся методом get, либо post, и ни в каких кукисах не участвует 0

@karbon 0 / 0 / 1 Регистрация: 03.08.2009 Сообщений: 72
	11.10.2010, 02:57	7
	Из мануала: Есть два метода хранения session id: куки и параметр URL ) 0

@abel 0 / 0 / 2 Регистрация: 20.07.2010 Сообщений: 52
	11.10.2010, 09:01	8
	читал я мануал (и проверял, вплоть до поиска на винте), и половина параметров работает не так, как ожидалось, поэтому перед тем как использовать информацию (в том числе и из мануала), я её проверяю 0

@karbon 0 / 0 / 1 Регистрация: 03.08.2009 Сообщений: 72
	11.10.2010, 11:31	9
	это-то понятно, но глупости типа того что id сессий передается только методами get и post не стоит говорить... 0

@karbon 0 / 0 / 1 Регистрация: 03.08.2009 Сообщений: 72
	11.10.2010, 11:37	10
	abel, и приведи пример, если не сложно, (а раз ПОЛОВИНА параметров работает не так, как написано, это не должно предоставлять для тебя сложности), где официальный мануал на php.net не соответсвует действительности?! 0

	12.10.2010, 22:45

@abel 0 / 0 / 2 Регистрация: 20.07.2010 Сообщений: 52
	11.10.2010, 11:43	11
	сперва насчет глупости: ; trans sid support is disabled by default. ; Use of trans sid may risk your users security. ; Use this option with caution. ; - User may send URL contains active session ID ; to other person via. email/irc/etc. ; - URL that contains active session ID may be stored ; in publically accessible computer. ; - User may access your site with the same session ID ; always using URL stored in browser's history or bookmarks. session.use_trans_sid = попробуй найти id сессии, если значение параметра 0 0

@abel 0 / 0 / 2 Регистрация: 20.07.2010 Сообщений: 52
	11.10.2010, 11:46	12
	хорошо, например с кукисами теми же самыми или, например, с переменными окружения Apache посмотрю я как у тебя будет работать без сучка и задоринки сейчас просто влом лесь в мануал и говорить какие именно функции и параметры, но если сегодня себя осилю - обязательно напишу 0

@abel 0 / 0 / 2 Регистрация: 20.07.2010 Сообщений: 52
	11.10.2010, 11:51	13
	а насчет метода post - это предположение, поскольку ни в каких кукисах я не нашёл id сессии 0

@karbon 0 / 0 / 1 Регистрация: 03.08.2009 Сообщений: 72
	11.10.2010, 12:38	14
	Зачем что-то предполагать, если механизм сессий достаточно полно описан и прекрасно работает. Повторяю еще раз, есть всего два способа передачи id: через куки(оптимальный и наиболее часто используемый) и второй, когда браузер клиента не приимает куки, посредством добавления id во все относительные ссылки, если ссылка начинается с http:// то id не добавляется. При наличии форм, в последнем случае, добавляются поля hidden cо значением id сессии(это как и будет твой пресловутый post). Разумеется, существует возможность принудительного включения того или иного способа передачи id. Если принудительно включен второй способ, то искать id в куках не имеет смысла. 0

@bazile 85 / 61 / 69 Регистрация: 15.03.2007 Сообщений: 6,906
	11.10.2010, 13:05	15
	id сессии хранится во временных cookie, которая дествительна пока не закрыт браузер. Эти куки не сохраняются на диск, а хранятся в памяти. 0

@abel 0 / 0 / 2 Регистрация: 20.07.2010 Сообщений: 52
	11.10.2010, 13:14	16
	2 karbon: насчет существования возможности принудительного включения того или иного способа передачи id, он действует всегда принудительно, только включен по-умолчанию способ передачи не через урл. при чём тут добавление поля с типом hidden при использовании форм?? я говорил о передаче id сессии не с участием разработчика, а в зависимости от настроек пхп. если id сессии передается не через урл, то остаются либо кукисы либо передаче параметра без отображения в урл (post), либо с участием какого-то хранилища (например базы) есть смысл записывать id сессии в базу данных и соответственно читать его из базы (как и говорил sl_play) поэтому чушь то, что существует всего два способа передачи id сессии другое дело что кукисы хранятся все в памяти браузера, это объясняет отсутствие id сессии на диске 0

@abel 0 / 0 / 2 Регистрация: 20.07.2010 Сообщений: 52
	11.10.2010, 13:15	17
	2 karbon: насчет существования возможности принудительного включения того или иного способа передачи id, он действует всегда принудительно, только включен по-умолчанию способ передачи не через урл. при чём тут добавление поля с типом hidden при использовании форм?? я говорил о передаче id сессии не с участием разработчика, а в зависимости от настроек пхп. если id сессии передается не через урл, то остаются либо кукисы либо передаче параметра без отображения в урл (post), либо с участием какого-то хранилища (например базы) есть смысл записывать id сессии в базу данных и соответственно читать его из базы (как и говорил sl_play) поэтому чушь то, что существует всего два способа передачи id сессии другое дело что кукисы хранятся все в памяти браузера, это объясняет отсутствие id сессии на диске 0