ذخيره Session در DB به جاي فايل

[abolfazl-z]

دوست عزیز، این قابلیت، اگه مفید نبود خود PHP اجازه تغییر مکانیزم کاری سشن رو به برنامه نویس نمیداد. حملات سشن فقط محدود به Fixation نیست. اگه سرور درست کانفیگ نشده باشه، توی هاست اشتراکی اجازه دسترسی به فایلهای سشن سایر کاربران هم داده میشه. بعلاوه برای فیلد activity هم یکسری مشکلات هست. مثلاً کاربر بدون خارج شدن، لاگ اوت کنه. یا مسئله حذف رکوردهای Expireشده در روشهای دیگه که میان فعالیتها رو توی یک جدول جدا ذخیره میکنن که در اینجا خود PHP با کمک GC میاد اینها رو مدیریت میکنه.
برای مدیریت سشن هم باید چندین پارامتر مثل IP و Agent و... رو با هم ترکیب کنید و باهاش هش سشن رو بسازین تا هرکدوم از این موارد تغییر کرد، سشن قبلی معتبر نباشه. مثلاً اگه کاربر توی فایرفاکس لاگین کرد، توی کروم لاگین نباشه و...

بعلاوه این موضوع (ذخیره سشن در دیتابیس) ابداً چیز بدی نیست و بعنوان یک Option و قابلیت میشه بهش نگاه کرد. حالا اگه توی یک پروژه لازم بود، استفاده میکنید و اگه نیازی نداشتین، همونجا توی فایل بگذارین. این قابلیت اگه خوب نبود، فریمورکهای مطرح امروزی مثل Yii هم داخل خودشون تعبیه نمیکردنش.

مسئله نگهداری دیتابیس روی سرور دیگه رو هم نمیدونم چرا مطرح کردین چون عملاً توی 99٪ سایتهای ایرانی، Remote DB نداریم.

اینقدر یک مسئله ساده رو بزرگ و بغرنج نکنید!

داریم گفت و گو می کنیم دیگه(اگر ناراحت نمیشین :) ) و این مسئله ایی که شما دارین می گویید ساده ام نیست.
در کل که من باز هم نفهمیدم دلیل برتری اش را. معادل همه اینکار ها را میشه در session file هم انجام داد.

اگه مفید نبود خود PHP اجازه تغییر مکانیزم کاری سشن رو به برنامه نویس نمیداد.

همه اش ام نباید در این میدان دید قرار داشته باشد شاید استفاده های دیگری هم بشود.

اگه سرور درست کانفیگ نشده باشه، توی هاس...

بحث امنیت سرور را دیگر در نظر نگیرید. ما فرض را بر این می گذاریم که امنیت چه سمت سرور و چه سمت کلاینت بالا است.

بعلاوه برای فیلد activity هم یکسری مشکلات هست. مثلاً کاربر بدون خارج شدن، لاگ اوت کنه

بدون خارج شدن لاگ اوت کنه ؟ چطوری ؟ فکر کنم منظورتون این است که browser را ببندد اگر این هست مشکل اش چیه ؟ چطوری است ؟ منظورتان را متوجه نشده ام.

این قابلیت اگه خوب نبود، فریمورکهای مطرح امروزی مثل Yii هم داخل خودشون تعبیه نمیکردنش.

این دلیل نمیشه.

مسئله نگهداری دیتابیس روی سرور دیگه رو هم نمیدونم چرا مطرح کردین چون عملاً توی 99٪ سایتهای ایرانی، Remote DB نداریم.

99 درصد ندارن ! نمیدونستم.

چند راهنمایی در مورد کلاس سشن (خودم توسعه دهنده اش شدم :)) )

1. یک متدی بگذارین که بشه خود کانکشن را گرفت من معمولا تو تمام پروزه ها از یک کانکشن استفاده می کنم.
2. بهتره در ساخت هش نام سرور + http_host را هم اضافه کنید اینطوری باعث جلوگیری از حمله بر روی ساب دامنه یا دامنه های مختلف میشه.(نمیدونم من روی PHP تست کردم جواب گرفتم یعنی شناسه سشن دامنه a.example.com را برای کوکی b.example.com تغییر دادم عمل کرد)