Szerintetek sütiben vagy sessionben tároljam az adatokat?
Figyelt kérdés
Még az elején leszögezném, hogy nem webprogramozó vagyok, csak konyítok egy kicsit a PHP-hoz és elvállaltam egy kisebb projektet. Nos az alkalmazásom pár táblázatot jelenít meg annak függvényében, hogy a felhasználó melyiket válassza ki a menüben. Ehhez az oldalhoz természetesen tartozik egy bejelentkező felület is. Én minden adatot sütikben tárolok, amik alapján dinamikusan töltöm fel a táblázatokat. Mikor bejelentkezik a felhasználó, beállítok 40-50 sütit. Ezzel a gond az, ha valaki ért egy kicsit a dolgokhoz, a sütikben az adatokat át tudja írni és már is egy másik felhasználó adatait látja, amit én nem szeretnék. Fontos, hogy rögtön a bejelentkezés után állítom be a sütiket, utána ebből dolgozik a program, nem kapcsolódik folyamatosan az adatbázishoz. Pár felhasználó lesz csak. Az adatok hetente-kéthetente frissülnek majd, de majd újból jelentkezik a felhasználó, ha friss adatokat akar látni, ez nem probléma.
dec. 14. 17:23
1/8 anonim válasza:
Hát nyilván session-ben. :) Eddig nem értem, hogy ez miért nem volt triviális.
Süti-ben csak is kizárólag a legfontosabb adatot tároljuk, ami kell az azonosításhoz vagy más fontos tényezőhöz. Sütit a tulajdonos képes: törölni, módosítani is. Tehát, minden sütit egyesével szeretnél ellenőrizni, hogy létezik-e a felhasználónál vagy beírja értéknek a "almafa"-t akkor mit csinálsz?
Szerintem nem szeretnél saját magad ellensége lenni. :)
dec. 14. 17:43
Hasznos számodra ez a válasz?
2/8 anonim válasza:
#1 voltam.
Amúgy amit te csinálsz az a "State" megvalósítás. Én jobban szeretem a "Stateless"-t, azaz csak egy TOKEN-t küldök az ügyfélnek, hogy ezzel azonosíthatod magad, ami él X percig. Utána újat kell kérnie a szervertől.
Ez esetben minden kérés (szerver felé) egymástól független és nincs ilyen téren SESSION. Ezt azt is szeretem, mert minden módosítás egyenesen DB-be megy és ha váratlanul le kellene állítani a szerver-t, akkor nem vész el adat.
Ha érdekel a Stateless mechanika, akkor első körben a JWT ami érdekes lehet. :)
dec. 14. 17:47
Hasznos számodra ez a válasz?
3/8 anonim válasza:
Na beindult a Pistike Bt. meg a gányolás...
dec. 14. 17:47
Hasznos számodra ez a válasz?
4/8 anonim válasza:
Hogy is volt azzal az e-jegy rendszerrel ami végül csúfosan megbukott? Sütiben csak azt tároljuk amit feltétlen muszáj. Mert biztonsági problémákat vethet fel. A bejelentkezésnél kiküldesz egy rövid ideig érvényes sütit, hogy X felhasználó sikeresen bejelentkezett ennek adsz egy rövid lejáratot. És ennyi. Minden másra ott a szerver oldali alkalmazás. De ez tényleg hogyan jutott eszedbe, hogy bármi "éles" adatot sütibe tárolj? Érted te egyáltalán, hogy mire jó a süti?
dec. 14. 20:28
Hasznos számodra ez a válasz?
5/8 anonim válasza:
Jól értem, hogy konkrétan felhasználónevet tárolsz sütiben, amit bármikor átírhat a kliens és akkor jogosulatlan adatokat lát???
Ha így van, akkor MOST hagyd abba az egészet és addig ne is vállalj munkát, amíg meg nem tanultad a biztonság alapjait.
A klienstől kapott adatokat SOHA nem használjuk közvetlen a jogosultsági kör megállapítására. A kliens bejelentkezéskor kap egy tokent, aminek lejárata van és az adott tokennel a szerver azonosítja, hogy mihez férhet hozzá a kliens.
dec. 15. 09:52
Hasznos számodra ez a válasz?
6/8 anonim válasza:
Én megmondtam, hogy Pistike Bt., le is lettem pontozva...
dec. 15. 10:49
Hasznos számodra ez a válasz?
7/8 anonim válasza:
És miért fáj, hogy kapcsolódjon az adatbázishoz, egy query erejéig? Gyakorlatilag a programod elküldi sütiben azt is, hogy mit kéne látnia a felhasználónak. Majd ha meg akar valamit nézni a sütiből visszakapott adatból generálsz egy táblázatot és azt jeleníted meg nála? Mert azért ez is elég nagy ökörségnek látszik már bocsásson meg a világ. A sütiket nem erre találták ki. Ez a megoldás hogyan jutott eszedbe?
A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik. Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!
válasza: