Wpis z mikrobloga

@jacekprim: kiedy nakłamałeś w CV panie programista wypoku ( ͡º ͜ʖ͡º)

@jacekprim: Umieść sesje w bazie i po problemie, będziesz miał pełną kontrolę.

@jacekprim: Albo przy logowaniu zapisuj która sesja jest kogo.

unserialize()

@jacekprim: Nie można unserializować niezaufanych danych, a takimi ciasteczka są zawsze, nawet php.net o tym wspomina

Warning

Do not pass untrusted user input to unserialize() regardless of the options value of allowedclasses. Unserialization can result in code being loaded and executed due to object instantiation and autoloading, and a malicious user may be able to exploit this. Use a safe, standard data interchange format such as JSON (via

Pokaż całość

@wiesiu2: @Vender: @jacekprim: sesje trzymamy np w redis, w razie zmiany hasła kasujemy wpisy z redis tego usera... W zalezności jaką chcesz mieć politykę, ustawiasz taki TTL wpisów w redisie, np ustawiasz TTL na 7 dni i niezależnie czy się wyloguje ręcznie to go wywali.

@jacekprim: w sesji trzymasz date jej utworzenia, a w bazie date ostatniej zmiany hasla. Jezeli sesja jest starsza niz haslo to ja uniewazniasz w momencie proby uzycia.

@jacekprim: sesje w bazie, np redis.

@jacekprim: przecież poza wbudowanym mechanizmem sesji w phpie powinieneś też przechowywać je w bazie a by mieć jak powiązać konkretnego użytkownika z id sesji.... i wiedzieć kiedy z niej skorzystał itd, przynajmniej wg mnie, najgorsze właśnie jest IMHO przechowywanie tylko id użytkownika w sesji i siema i zero posiadania takowej informacji w bazie