Foros del Web » Programando para Internet » PHP »

session.use_trans_sid en PHP5

Estas en el tema de session.use_trans_sid en PHP5 en el foro de PHP en Foros del Web. session.use_trans_sid is stated as being changeable PHP_INI_ALL, but it is not changeable with ini_set until PHP 5. Eso quiere decir que no podré hacer que ...
  #1 (permalink)  
Antiguo 22/09/2004, 20:22
Avatar de Takitei  
Fecha de Ingreso: septiembre-2004
Ubicación: Venezuela
Mensajes: 1.231
Antigüedad: 19 años, 6 meses
Puntos: 5
session.use_trans_sid en PHP5

session.use_trans_sid is stated as being changeable PHP_INI_ALL, but it is not changeable with ini_set until PHP 5.

Eso quiere decir que no podré hacer que mi PHP pase el SID por URL a partir de PHP5 !!!... ¿Existe otra forma de hacerlo?

Estaba usando:

Código PHP:
ini_set("session.use_cookies","0");//descativamos el uso de cookies para nuestras sessions
ini_set("session.use_trans_sid","1");//activamos el uso de la url para enviar el SID de nuestra session 
Pero con PHP5 en mi PC no funciona. Simplemente el SID no viaja por URL. ¿Alguna solución para PHP5?

Un saludo!
__________________
Takitei
Ingeniarte.com
DannyHerran.com
"Dadme un punto de apoyo y moveré la tierra" - Arquímedes.
  #2 (permalink)  
Antiguo 22/09/2004, 20:30
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 2 meses
Puntos: 129
Pues parece que han modificado eso en PHP 5 .. por qué en PHP 4 se puede establecer vía php.ini el estado de la directiva session.use_trans_sid.

Tendrás que hacerlo directamente sobre el php.ini o bien usando un .htaccess o en la configuración de Apache (en el módulo de PHP) usando:

php_flag session.use_trans_sid ON

Pero, te recomiendo que leas este documento antes de seguir intentando propagar el SID por el URL en lugar de cookies (con sus prós y contras ...):

http://www.acros.si/papers/session_fixation.pdf

Un saludo,
  #3 (permalink)  
Antiguo 22/09/2004, 20:49
Avatar de Takitei  
Fecha de Ingreso: septiembre-2004
Ubicación: Venezuela
Mensajes: 1.231
Antigüedad: 19 años, 6 meses
Puntos: 5
Ehmmmm... bueno Cluster tienes razón. Es vulnerable el paso del SID tanto por URL como por campos hidden. Lo mejor es usar las cookies y listo.

En base a esto me nace otra curiosidad...¿Cómo podría de alguna forma.. detectar si el usuario tiene o no las cookies activadas?... Gmail por ejemplo, si tienes las cookies inactivas no te deja loguear y muestra un mensaje de error por las cookies.
__________________
Takitei
Ingeniarte.com
DannyHerran.com
"Dadme un punto de apoyo y moveré la tierra" - Arquímedes.
  #4 (permalink)  
Antiguo 23/09/2004, 05:52
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 2 meses
Puntos: 129
Tendrás que enviar una cookie como "test" y tomar su valor .. Si existe, es que acepta cookies (y puedes borrar esa cookie de "test").

Un saludo,
  #5 (permalink)  
Antiguo 23/09/2004, 07:32
Avatar de Takitei  
Fecha de Ingreso: septiembre-2004
Ubicación: Venezuela
Mensajes: 1.231
Antigüedad: 19 años, 6 meses
Puntos: 5
BUeno... hice algo parecido. Logueé al usuario y creé las cookies respectivas en login.php. Luego hice un header() que me lleva a checkcookie.php donde se verifica si las cookies respectivas al usuario existen, si es asi, se lleval usuario al panel de control, de lo contrario, se le muestra un mensaje de error correspondiente a las cookies.

checkcookie.php solo verifica si se crearon las cookies en login.php. Es lo mismo que tu me dijistes pero con las cookies reales.

Mil gracias Cluster.
__________________
Takitei
Ingeniarte.com
DannyHerran.com
"Dadme un punto de apoyo y moveré la tierra" - Arquímedes.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 12:20.