duda de novato con respecto a sesiones

don_fransisco · #1 (**permalink**) 03/07/2004, 02:04

tengo el siguiente ejemplo

A.php
<?
session_start();
$_session["var"]="hola";
header("location:b.php?".SID."");
?>

B.php

<?
session_start();
$var=$_session["var"];
echo $var."<br>";
echo SID."<br>";
session.destroy();
?>

mi pregunta es creo una sesion en la pagina A.php que contiene "hola" y redirecciono a B.php junto el SID, luego en la pagina B.php Recupero el valor de la sesion y el valor SID, mi pregunta es cual es la utilizacion del SID si en la pagina B.php perfectamente puedo recuperar el contenido de la session, y lo puedo aplicar a la pagina C.php y D.php y en todas las demas paginas, lo que se llama propagacion sin necesidad del SID.

de antemano gracias y disculpen el tipo de preguntas.

lado2mx · #2 (**permalink**) 03/07/2004, 12:47

puedes hacerlo, siempre y cuando quites el session_destroy() de B, e igual y puedes quitarlo de manera que el usuario lo haga, ya sea con E o con F, como lo prefieras.

don_fransisco · #3 (**permalink**) 03/07/2004, 13:21

a ok ahora comprendo, tengo una duda, cuando el usuario registrado logra ver PHPSESSID=XXXXXXXXX es normal que el usuario registrado vea esta propagacion de su propio SID, no representa una forma en que ese mismo usuario pueda hackear la pagina ya que el SID queda visible para el, existe la forma de ocultarlo sin usar las cookies y sin desactivar la opcion de propagacion automatica de url.

Cluster · #4 (**permalink**) 05/07/2004, 07:44

Pues si, .. con ese SID a la vista podría "alterarlo" (el SID es aleatorio .. así que cosa inprobable que pudiera tomar otro SID válido pero podría suceder).

Lo ideal es propagar el SID en una cookie (se fuerza con conifiguración de PHP) para evitar dar al usuario "a la vista" el SID que por otra parte es insprescindible que se propage ya que "asocia" los datos de tu sesión (tus varibles en ellas y sus valores) con el cliente que las inició bajo ese SID. (Identificador Único de sesión).

Un saludo,