Sesje

Co to są sesje? Otóż sesje to taka przechowalnia zmiennych po stronie serwera. Jeżeli musimy trzymać wartość jakiejś zmiennej pomiędzy kolejnymi wywołaniami strony, to w sesjach się to robi najprościej.

Kilka uwag na początek:

• w każdym skrypcie, w którym używasz sesji na początku rób session_start()
• zawartość sesji jednego użytkownika nie jest widziana przez drugiego użytkownika (z pewnym wyjątkiem, ale o tym później)
• w zależności od wersji PHP i register_globals to co jest w sesji jest zawarte w tablicach $HTTP_SESSION_VARS lub $_SESSION, przy diagnozowaniu błędu zawsze warto zrobić print_r();
• sesje używają identyfikatora sesji - SID, jeżeli masz problemy z ginącymi sesjami sprawdź czy SID jest przekazywany z jednej strony na drugą - session_id() na jednej i drugiej powinien być taki sam.
  Można wymusić przekazywanie SIDa: "<a href=strona.php?".session_name()."=".session_id()

Typowym przykładem użycia sesji jest logowanie użytkowników. Przypuśćmy, że mamy bazę zawierającą ID, IMIĘ, NAZWISKO, UPRAWNIENIA, LOGIN, HASLO.

Robimy formularz zawierający pola na login i hasło.
Jeżeli user wyśle coś do tego skryptu to sprawdzamy czy w bazie danych istnieje login i hasło.

Jeżeli istnieje to inicjujemy zmienne sesyjne:
$_SESSION['USER_ID']=id_usera_z_bazy
$_SESSION['UPRAWNIENIA']=uprawnienia_usera_z_bazy

i w każdym skrypcie sprawdzamy czy $_SESSION['USER_ID'] nie jest puste - wiemy wtedy, że user jest zalogowany.
Jeżeli jest puste to oczywiście należy wysłać usera na stronę logowania i przerwać wykonywanie skryptu.

Wylogowanie usera można zrobić przypisując pusty ciąg znaków do $_SESSION['USER_ID'] i/lub niszcząc sesję session_destroy()

Czy sesje są bezpieczne?

Jeżeli przeglądarka nie akceptuje cookiesów, to w pasku adresu pojawia się identyfikator sesji (taki długi, brzydki ciąg znaków). Jeżeli skopiujemy ten pasek adresu to okna przeglądarki na innym komputerze to okazuje się, że jednocześnie będą zalogowane dwie przeglądarki na tą samą sesję.

Pewnym rozwiązaniem tego problemu jest trzymanie adresu IP w sesji i porównywanie go za każdym odwołaniem do skryptu. Niestety nie rozwiązuje to problemu 2 komputerów za tym samym NATem. Ale jest inne rozwiązanie:

W sesji trzymamy pewną wartość, powiedzmy $key. Tą wartość wysyłamy do przeglądarki - może być jako ciacho, może być jako parametr w linku. Przeglądarka przy następnym wejściu odeśle nam ten parametr z powrotem - porównujemy go z tym zapisanym w sesji i generujemy nowy, unikalny $key.

Jeżeli ktoś skopiuje pasek adresu przeglądarki to przy następnym odwołaniu do serwera wartość $key się rozsynchronizuje - tylko jedna z przeglądarek będzie miała dostęp.

W zasadzie po stwierdzeniu faktu rozsynchronizowania się $key-a należałoby sesję zniszczyć - nie będzie wiadomo, która przeglądarka jest właściwa więc należy zabronić dostępu obu.