cerrar sesión en php, cual es la forma correcta?

veran..

para iniciar

para cerrar sesion tengo esto..



eso esta en un link del menu desplegable.
es la manera que se me ha ocurrido.
pero he estado pensando..
si un usuario envia ese link a otro y el otro usuario dara click al link y cerrara su sesion.
entonces como evito eso?
o mejor dicho. de que manera implementan ustedes los cierres de sesion?

el inicio no creo que sea problema pues simplemente ocupa password y user.
pero la cerrada?

se me ocurre que enviandole el id de la sesion, si el id de la sesion es igual al parametro entoncs que se cierre.

algo asi

entonces si un usuario copia lo que hay en el link entonces no podra hacer nada... por que esta enviando su id. que es diferente al otro-

pero ustedes como lo implementan?
de antemano gracias.

No te preocupes por una cuestión así, si envían el link a otro usuario, este no podrá cerrar la sesión. De todas maneras, muestrame el código de sesionclose.php

Saludos

por eso se me ocurre que poniendole la sessionid... comparando..
pero quisiera saber cual es su metodo..

Esta bien el código.
Pensando en tu preocupación, quizás entendí mal al principio, por tal motivo 2 escenarios:

- Si tu preocupación es que el que recibe el link cierre sesión del que la envio, no es posible de esa manera. Por lo cual no hay que verificar nada.

- Si tu preocupación es que deliberadamente se envíe el link para provocar el cierre de sesión del usuario que recibe, esta bien como lo planteas. Aunque no expondría el id de sesión, generaría un valor aleatorio por ejemplo con uniqid() y validarlo contra eso como lo planteabas en tu solución.

Saludos y disculpas si entendí mal en un principio.

Hay una funcion de php que se llama session_destroy(); busca tutoriales de como poder aplicar esta funcion. saludos

La ID de sesión se propaga por medio de cookies, a menos que tengas tu PHP configurado para enviarlo por URL (nada recomendable), lo ideal es que no incluyas ese dato en el enlace.

Si un usuario ingresa a sessionclose.php, al usar session_destroy(); o $_SESSION = array(); no puede afectar a otros usuarios, sólo la propia sesión.

Y creo que no debería preocuparte mucho si un usuario puede cerrar la sesión de otro, más bien, fíjate que no pueda "robarla", ahí si hay motivo de preocupación.

ah si jejes
bueno pero si alguien quiere jugar, solo le envia el enlace a alguien y le dice que haga click y ya se le cierra la sesion.

si no lo incluyo en el enlace como deberia hacerlo?
es que no se me ha ocurrido como.

mira por ejemplo esta pagina

http://soycompatible.com/inicio.aspx
cuando estas registrado la pagina de inicio es esa..

pero que pasa si le quitas inicio.aspx

http://soycompatible.com

es como si no tuvieras sesión iniciada.
pero si vuelves a poner el enlace completo
http://soycompatible.com/inicio.aspx
entonces entras como si nada, ya no te pide autentificacion.
pero eso esta bien??
esta bien que con solo quitar el inicio te aparezca la opción de autentificacion?

de hecho acabo de ver ahorita en este momento, que ellos hacen lo mismo que yo.
oO
tambien incluyen el archivo de cerrarsesion

pero facebook no lo hace asi, lo hace asi
Facebook, lo envia por post.
creen que es mejor por post?
si verdad?
asi ya no se puede enviar el enlace de salir.

o que opinan?

tambien estaba viendo lo demas.
tengo lo de agregar amigos, borrar amigos etc....
y para borrar se presiona un enlace que ejecuta la consulta.
entonces si alguien quiere que borres a un amigo te envia el enlace :S
mmm¿ creo que entonces debo cambiar todo eso verdad?

miren

si Perla ve el enlace y sabe que el id 280 es la exnovia de su novio entonces Perla como sabe informática le enviara el id 280 a su novio para que este la borre sin darse cuenta..

creanme que no me habia dado mucho cuenta de todo este agujero de seguridad

Lo que planteas esta bien, el tema es que lo recomendable no es pasar el id de sesion por la query. Podes usar cualquier otro dato, llamalo hash, identificador único, como te parezca.

La idea sería esta:

Al momento de generar la sesion cuando autenticas generas una nueva variable llamada pepito, $_SESSION['pepito] = uniqid();

La función uniqid() genera un valor aleatorio. Este es el valor que vas a pasar en cada query, el cual debe ser requerido para ejecutar una determinada acción.

Como ese dato "pepito" lo tenes un tu sesion, lo podes comparar con el valor que viene en la query:


Ejemplo de uso:

eliminaramigos.php?idamigo=280&hash=4b3403665fea6


Por cierto, nombre "pepito" a la variable por decir algo, para ilustrar el ejemplo.

orales, si te entendí :D

ahora estoy viendo las dos opciones.
si por post o por get con el has.

lo que veo es que por post no ocupas nada mas que presionar el botón .
¿mas sencillo no?
¿cual me recomiendas?
¿cual es mas seguro?

Jejeje, cualquiera de las dos son manipulables del lado del cliente.

jaajaaj sabes que.. estuve analizando, y para enviar por post, se supone que es para enviar un dato de texto jejes..
y el botón solo llamaría al form, pero de todas formas ese form se puede llamar por link. jejes es verdad es mas seguro el hash
dices que es manipulable por el cliente pero de aquí a que le atine al numero ramdom

o a que te refiere a que es manipula ble con que hay formas de saber el numero hash del otro usuario?
no me imagino como XD

por cierto.. si entras a la pagina
http://soycompatible.com/enlaces/conocer-gente.aspx
las imagenes no se muestran, tiene errores.
creo que siempre es conveniente subir la pagina hasta que esta terminada no.

Interesante debate... (lo digo enserio)

Pero me parece medio tomado de los pelos "SI ALGUIEN JUGANDO ENVIA EL LINK" o sea... lo mejor sería que ocultes el LINK con Javascript u otro método (facebook hace eso) y ya... si bien puede ocurrir, tambien podría alguien enviar un codigo malicioso para redireccionarlo a un VIRUS, que me parece más peligroso que si se cierra una session...

En todo caso, si se cierra una session, vuelves a hacer login y ya.. aunque la opcion de usar un hash no es mala, es más es implementada por el foro mismo, si te fijas en la url que indica cuando vas al boton FINALIZAR SESION..

si ya lo veo

entonces creo que para la seguridad es bueno usar hash en casi todo verdad

Si es buena... aunque tambien te daras cuenta de que usa un ALERT para prevenirte... si le diste OK va al sitio.. o sea, el foro usa 2 mecanismos de seguridad ante esto... (desconozco la programación interna pero es lo que se deduce)

si esta muy validado, de hecho copie la url
y me mando esto
"
Aviso del Foro
A ocurrido un error al intentar cerrar la sesión. Haz clic aquí para finalizar la sesión."

y eso fue por que se remplaza el anberson

el codigo es asi

http://www.forosdelweb.com/login.php...b19b34496e795b
y asi fue como se me cerro la sesion..
solo copie y pegue el link..
en todo caso no importa mucho eso, quien va averiguar mi has

me parece interesante como hay varias webs que tienen problemas de seguridad básicas.
y que mejor demostración de buena seguridad como esta web, que se dedica a la programación y otras cosas mas

Si un usuario puede compartir un enlace y que de ahí cierren (o tomen control de) su sesión, entonces no está bien planeada la seguridad del sitio, así de fácil.

Ahora, para que tu sesión sea válida en todo el sitio usa session_set_cookie_params() especificando / para el dominio, de esta forma, no importa si estás en sitio.com o sitio.com/index.php o sitio.com/carpeta/otro.php, la sesión estará activa en cada uno de ellos.

como pudiera cerrar sesión en html¿?