Para que Sirve el SID , session id ??

Hola, espero esten bien.. en realidad mi pregunta les parecera tonta, ojo se que es un ID, a lo que voy es para que sirve en realidad..

veamos, actualmente estoy haciendo un sistema que maneja sessiones en PHP.. entonces como usuario puedo loguearme y si el user y pass son correctos guardo la info del usuario en una session.. ahora bien, en muchas paginas estoy viendo que aparece algo asi cuando el usuario se loguea..


pero en realidad para que sirve??.. eso se guarda en una base de datos?? con que finalidad??..

Gracias

phoxer escribió:

La pregunta como la haces, está mal formulada pues "dejas" la opción de que puedes reemplazarla por otra cosa o que puedes decidir no usarla. La pregunta debería ser ¿Que es? y bueno eso si lo puedo responder mejor.

session id (sid) es el identificador único de un visitante al iniciar session en tu aplicación.

phoxer escribió:

No, para nada. Se guarda en cookie o se propaga en url (tal como lo pones en la imagen), tu puedes escoger cual de las dos usar.

Para usarlo como lo tienes en la imagen debes habilitar esta opción en la configuración de php (php.ini)
session.use_trans_sid = 0; //valor por defector, cambia a 1 si la quieres habilitar. Recuerda reiniciar el servidor


Como información adicional, los datos de sesión se almacenan en archivos.

Pero para que sirve.. osea que beneficios da usar SID.. a no usarlo

de nada eso es interno es un token de identificacion de la sesion no es muy intersante mejor no te metas con ello porq puedes terminar mostrandola en la url aunque de nada le servira a un hacker pues esta es una cadena en hash md5 saludos

phoxer escribió:

Ergh, por defecto php usa Cookies para almacenar el identificador pero que pasa cuando el usuario deshabilito las cookies en el navegador? Php previene esto y te da la opción de usar sid propagada por url (que es como la ves en la imagen), empero, advierte que no se use esto, recomienda el uso de cookies y es así como viene por defecto en la configuración de php 5.


SID = session id = identificador único para la sesión de un usuario.

saludos

talcual escribió:

Esto no es cierto. Si alguien logra capturar nuestro identificador de session podemos ser victimas de Session Fixation, lo cual permite apoderarse de nuestra cuenta en las paginas que no se maneje adecuadamente esto, mucho cuidado.
Otro link sobre session fixation http://shiflett.org/articles/session-fixation

Hola phoxer.

A ver, como explicarlo, pongamos el ejemplo de un sitio www.pp.com, suponete q es un wordpress y esta sobre Apache. Bueno, cuando vos visitas el sitio el servidor genera un identificador unico para vos (crea uno para cada visitante). De esta manera sabe q cualquier cosa q vos hagas va a saber identificarte con respecto a los cientos o miles de conecciones simultaneas q pueda llegar a tener. Si sos solo un visitante el ID de session no dice mucho, es solo algo interno del servidor.
Ahora bien, suponete q te logeas al admin de wordpress, entonces, el ID de session q el servidor te asigno lo utiliza para mapear todo lo q php guardara en $_SESSION (a grandes rasgos es asi).
Resumiendo, el servidor utiliza el ID de sesion para diferenciar las diferentes conecciones activas y de esta menara guarda sabe a que coneccion le corresponde cada dato q guarda.

El servidor no guarda el ID se sesion en una BD, simplemente porq es un Servidor web y no uno de bases de datos (posiblemente internamente tenga algun tipo de BD, ya se implementada en memoria o en disco, pero es algo interno, no las BD como pueden ser mysql y esas). El id de sesion por seguridad tampoco se deberia ser guardado en un BD por parte del programador.

Cuando dura la sesion? eso se configura desde el php.ini o el .httconf (apache), la verdad no recuerdo bien desde cual de los dos. Por default dura un buen tiempo.

Un ejemplo claro de uso de ID se sesion es este foro, viste q vos te logeas hoy y si no borras el cache, mañana entras nuevametne y seguis logeado, pero si no entras por 1 semana, aun q no hayas borrado al cache te tenes q logear nuevamente. Eso pasa porq el ID de sesion que tenes en los coockies de tu maquina ya expiro (por lo de la configuracion q te explicaba en el parrafo anterior). Por otro lado, suponete q la sesion expira en 48 hs, ponele q te logeas un lunes, entonces el miercoles deberia expirar, pero.... si te logeas el martes el tiempo de sesion se renueva, o sea, tenes 48 hs a partir de ese martes. En resumen, el tiempo de expiracion se cuenta desde la ultima vez q entraste al sitio y no desde q te logeas.


En temas de seguridad tenes q tener cuidado con lo q te dice chug0. Siguiendo el ejemplo del foro de clab. Si vos te logeas a clab y alguien capura tu ID de session, supeustametne el podria logearse desde cualquier maquina sin necesidad de poner usuario/pass (siempre y cuando no hayas cerrado session). En el caso de un foro no dice mucho... pero imaginate si te capturan el id de sesion de tu home bamking... ahi ya estarias en un aprieto. Fijate en este post http://foros.cristalab.com/trabajando-con-sesiones.--t71399/ ahi explico alternativas al uso comun de sesiones para agregarle seguridad.


Saludos y buen codding

El servidor (Apache o el que uses) no tiene nada que ver con las sesiones de php, y, reitero ese valor (session id) no se guarda en ningun lado más que en la cookie del navegador o se propaga por la url. Ese valor no estará en otro lado a menos que el programador lo decida.

Por otro lado, lo datos que el programador guarda en $_SESSION, eso sí se guarda en disco del servidor y eso tambien lo puede personalizar el programador en la configuracion de php.ini


Todas estas configuraciones son de php y por lo tanto van en php.ini. Ojo, existe la posibilidad de modificar los valores de php.ini desde configuracion de apache pero esa es otra cosa.


saludos

hoo interesante no tenia conocimiento de que nos podian hacer eso tendre siempre en cuenta eso