कुकीज़ के बिना PHP सत्र

Question

क्या कोई तरीका है कि मैं सत्र कुकी के प्लेसमेंट के बिना PHP में लगातार सत्र शुरू कर सकता हूं? क्या आईपी एड्रेस-आधारित समाधान जैसे पृष्ठों पर सत्र बनाए रखने के अन्य तरीके हैं?

पूछने का मेरा कारण यह है कि हालांकि अधिकांश उपयोगकर्ताओं के पास कुकीज़ है, मैं देखना चाहता हूं कि लॉग इन सिस्टम के लिए अक्षम लोगों के लिए काम करने का कोई तरीका है (भले ही मुझे लगता है कि कुकीज को अक्षम करना सिर्फ अनावश्यक परावर्तक है, व्यक्तिगत रूप से)।

ini_set('session.use_cookies', 0); 
ini_set('session.use_only_cookies', 0); 
ini_set('session.use_trans_sid', 1); 
session_start(); 
// IP check 
if($_SESSION['ip_check'] != $_SERVER['REMOTE_ADDR']){ 
    session_regenerate_id(); 
    session_destroy(); 
    session_start(); 
} 
$_SESSION['ip_check'] = $_SERVER['REMOTE_ADDR']; 
// session stuff 

नोट::

Answer 1

मैं इसे कुकीज़ सक्षम करने के लिए अपने उपयोगकर्ताओं को पूछने के लिए बहुत ज्यादा है नहीं लगता। जब लोग उन्हें पूरी तरह बंद कर देते हैं तो मुझे मूर्खता मिलती है।

अन्यथा, आप अपने session.use_only_cookies को "0" पर सेट कर सकते हैं ताकि आपके PHP में यूआरएल के सत्र आईडी के परिशिष्ट को मजबूर किया जा सके। हालांकि, इस दृष्टिकोण में कई ड्रॉ बैक हैं। मुख्य रूप से यूके के भीतर राज्य को रखने के लिए, कुकी हेडर के विपरीत। यदि कोई उपयोगकर्ता उस पृष्ठ के यूआरएल को कॉपी और पेस्ट करना चाहता था, और कोई और उस पर क्लिक करना था, तो वे दोनों एक ही सत्र का उपयोग करेंगे।

<?php 
    ini_set("session.use_cookies", 0); 
    ini_set("session.use_only_cookies", 0); 
    ini_set("session.use_trans_sid", 1); 
    ini_set("session.cache_limiter", ""); 
    session_start(); 

Answer 2

आप के साथ अक्षम करने कुकीज़ URL में सत्र आईडी के साथ काम कर सकते हैं, और यह अत्यधिक URL में सत्र आईडी का उपयोग करने के discougared है। वायरलेस कार्ड के साथ यात्रा करते समय आईपी पते बदल सकते हैं और प्रॉक्सी सर्वरों का एक ही आईपी पता होता है। 'पुराना यूआरएल' (पुराने सत्र आईडी के साथ) पर क्लिक करते समय यह आसानी से टूटा हुआ है।

आप अपना स्वयं का सत्र हैंडलिंग फ़ंक्शन (डेटाबेस के साथ संयोजन में) बनाने में रुचि भी ले सकते हैं। आप सत्र आईडी को अनदेखा करेंगे, और इसे आईपी पते से बांध देंगे। (http://php.net/manual/en/function.session-set-save-handler.php में उदाहरण देखें)

संदर्भ:

• http://php.net/manual/en/session.configuration.php

Answer 3

आपको हर यूआरएल के लिए सत्र id जोड़कर सक्रिय करने के लिए सही पर session.use_trans_sid का आरं-मूल्य निर्धारित कर सकते हैं। this पर एक नज़र डालें।

सुरक्षा उद्देश्यों के लिए आपको सत्र को बनाए गए आईपी में सत्र को सीमित करना चाहिए। हालांकि यह पूरी तरह से सुरक्षित नहीं है, क्योंकि एक ही आईपी (प्रॉक्सी के पीछे) के साथ कोई भी उसी सत्र का पुन: उपयोग कर सकता है।

Answer 4

आप डेटाबेस में आईपी प्रति सत्र id को बचा सकता है: SESSION_ID, आईपी और अद्वितीय अस्थायी कुंजी (लॉग इन उपयोगकर्ताओं के लिए) या किसी अन्य शर्त आप की तरह:

तीन क्षेत्रों के साथ एक mysql तालिका बनाएं। फिर सत्र कुकीज़ और use_trans_sid बंद करें।

फिर इस नई तालिका के आधार पर सत्र व्यवहार प्रबंधित करने के लिए एक कोड बनाएं!

session_start() के बाद

बचाने तालिका में SESSION_ID और बाद में मेज से (आईपी और किसी भी अन्य स्थिति से) इसे प्राप्त करने और उसके बाद अधिक जानकारी और पूर्ण गाइड के लिए

session_id($in_table_session_id); 

फोन देखें: https://gist.github.com/mimrahe/77415f4a9e238c313bbe8c42f8a6b7fe

Answer 5

आप कर सकते थे डेटाबेस रिकॉर्ड या अस्थायी फ़ाइल बनाएं और प्रत्येक पृष्ठ लोड पर अनुरोध के विरुद्ध $_SERVER वर्र्स देखें। यह एक सुरक्षा जोखिम है, लेकिन पर्याप्त चर के साथ (सूची here पर एक नज़र डालें) आपको लगता है कि आपको एक स्वीकार्य स्तर पर हाइजैक करने का मौका मिला है; केवल आप ही जानते हैं कि आपके ऐप को कितना सुरक्षित होना चाहिए।