Tema: cerrar sesión en php, cual es la forma correcta?
Ver Mensaje Individual
  #7 (permalink)  
Antiguo 22/03/2013, 10:01
minombreesmm
 
Fecha de Ingreso: agosto-2012
Ubicación: M.
Mensajes: 2.031
Antigüedad: 11 años, 8 meses
Puntos: 52
Respuesta: cerrar sesión en php, cual es la forma correcta?
Cita:
Iniciado por Triby Ver Mensaje
La ID de sesión se propaga por medio de cookies, a menos que tengas tu PHP configurado para enviarlo por URL (nada recomendable), lo ideal es que no incluyas ese dato en el enlace.

Si un usuario ingresa a sessionclose.php, al usar session_destroy(); o $_SESSION = array(); no puede afectar a otros usuarios, sólo la propia sesión.

Y creo que no debería preocuparte mucho si un usuario puede cerrar la sesión de otro, más bien, fíjate que no pueda "robarla", ahí si hay motivo de preocupación.
ah si jejes
bueno pero si alguien quiere jugar, solo le envia el enlace a alguien y le dice que haga click y ya se le cierra la sesion.

si no lo incluyo en el enlace como deberia hacerlo?
es que no se me ha ocurrido como.

mira por ejemplo esta pagina

http://soycompatible.com/inicio.aspx
cuando estas registrado la pagina de inicio es esa..

pero que pasa si le quitas inicio.aspx

http://soycompatible.com

es como si no tuvieras sesión iniciada.
pero si vuelves a poner el enlace completo
http://soycompatible.com/inicio.aspx
entonces entras como si nada, ya no te pide autentificacion.
pero eso esta bien??
esta bien que con solo quitar el inicio te aparezca la opción de autentificacion?

de hecho acabo de ver ahorita en este momento, que ellos hacen lo mismo que yo.
oO
tambien incluyen el archivo de cerrarsesion

pero facebook no lo hace asi, lo hace asi
Facebook, lo envia por post.
creen que es mejor por post?
si verdad?
asi ya no se puede enviar el enlace de salir.

o que opinan?

tambien estaba viendo lo demas.
tengo lo de agregar amigos, borrar amigos etc....
y para borrar se presiona un enlace que ejecuta la consulta.
entonces si alguien quiere que borres a un amigo te envia el enlace :S
mmm¿ creo que entonces debo cambiar todo eso verdad?

miren
Código HTML: 
Ver original
  1. <a href="eliminaramigos.php?idamigo=280">Eliminar de mis amigos</a>

si Perla ve el enlace y sabe que el id 280 es la exnovia de su novio entonces Perla como sabe informática le enviara el id 280 a su novio para que este la borre sin darse cuenta..

creanme que no me habia dado mucho cuenta de todo este agujero de seguridad
__________________
a veces creemos que es algo básico pero al profundizar nos damos cuenta que estábamos tocando solo la cola de la culebra
Última edición por minombreesmm; 22/03/2013 a las 10:11