Sessions vs Cookies

Sessions bliver, så vidt jeg ved, også lagres i en form for cookies, så det skulle gerne være det samme. =) Sessions kan også "hijackes", men du mindsker risikoen for dette betydeligt ved at sætte:

session_regenerate_id();

lige efter din:

session_start();

Kan det passe, at session_regenerate_id() gemmer dette id som en cookie, der identificerer brugeren, så han tildeles de rigtige sessions?

Cookies (og dermed sessions) virker kun for samme domæne.
Levetid i sessioner kan enten sættes på serveren, default normalt 20 minutter, eller du kan sætte en tid i en sessionvariabel.

(fortsættelse) og dermed selv kontrollere tiden.

erikjacobsen -> Hvordan sætter jeg sessions levetid i det enkelte script?

I php.ini hvis det er din egen server, eller webhotellet tillader en lokal php.ini, og ellers (hvis det virker):

ini_set('session.gc_maxlifetime',(3600*24*365)); // et år (hvis browseren ikke lukkes)

@erikjacobsen
"Cookies (og dermed sessions) virker kun for samme domæne."

Det er ikke nødvendigvis helt korrekt, og kommer lidt an på, hvordan dit hotel er sat op.
Det er rigtigt, at hvis du læser en session for en bruger, så får du kun de oplysninger der er lagt i sessionen af dit domæne, men hvis serveren er sat op til at gemme alle sessions samme sted på serveren, uanset domæne (og det har jeg faktisk oplevet hos et hotel, ingen nævnt, ingen glemt), så kan alle brugere af serveren i princippet læse og skrive til hinandens sessions. Men det er forhåbentlig de færreste steder der forekommer den slags rod i opsætningerne.
Er råd kunne være at lave dit eget session-bibliotek og gemme dine sessions der:

ini_set('session.save_path','./sessions');

Hvad bør jeg give et sådan session-bibliotek af rettigheder?

Det kommer nok lidt an på hvor du smider den, men et bud kunne være 0770

Skal lige tjekke om jeg må ligge mappen uden for www, ellers bliver det i den.

Denne ini_set('session.gc_maxlifetime', 60) retunerer 1440, altså den gamle værdi.
Så vidt jeg ved, burde levetiden nu være sat til 60 sekunder = 1 minut?

Men jeg kan bare se at sessions lever videre, hvis jeg åbner en testside og ikke røre den igen i 2 min, eksistere sessions stadigvæk. Betyder det så at jeg ikke har tilladelse til at ændre denne indstilling??

Det kan være du skal sætte frekvensen af garbage-collection op, hvis der ikke er så meget trafik på din side

Der er ingen trafik på den side/domæne jeg tester på.

Burde jeg ikke kunne se nogle filer i den mappe jeg har sat som session-bibliotek?

Ja, når du laver en session, oprettes en session-fil i din save_path, og denne slettes først igen ved garbage-collection, og hvis det kun er dig der tester på siden, og garbege-collection'en ikke udføres så ofte, kan dette være grunden til at din session overlever længere end den burde.

Men hvorfor kan jeg så ikke se nogle filer i den pågældende mappe jeg har sat i save_path?

Tjah, det er jo lidt svært at sige, når jeg ikke har ret meget at gå ud fra, men kunne det være fordi du har skrevet din sti forkert?
Husk at du skal sætte stien før du kører session_start() ;)

> Husk at du skal sætte stien før du kører session_start()

Vidste jeg godt, men havde self glemt at gøre det...

Men hvad siger I? Hvad synes i bedst om til loginsystemer cookies eller sessions?

Klart Sessions. Ser ingen grund til at bruge cookies.

Enig

Smider i hver især et svar allesammen?

Hvis du synes, jeg fortjener nogen points, er her et svar.

Jeg synes session_regenerate_id() var et meget godt input :D

Svar

Mon man kan logge et svar ud af erikjacobsen?

Hvis du kigger ud af vinduet og du ser et par grise flyve forbi, eller hvis du kigger
i kalenderen og der er 2 søndage i næste uge så .................

Ja lad os dog kigge efter, han får en frist til på onsdag den 29....

Han takker altid nej. =)

Så er jeg fræk og deler dem ud nu. Så må han bare sige hvis han nu ønsker point.

Vær så god og tak for hjælpen :D

Tak for points! :)

Jeg siger bare tak for hjælpen :D