PHP, у нас есть сессии и куки .... Я люблю куки, но они сейчас у меня в голове

Question

Хорошо, я не получаю никакого ответа с моим оригинальным словесным словом ...

Можете ли вы выполнить скрипт перед установкой файлов cookie, или это должно быть первым делом?

Можете ли вы установить куки, и это практично, с $ _POST или $ _GET

если не практично ... или безопасно ... что я могу сделать, чтобы убедиться, что мои куки установлены безопасно (по крайней мере, более безопасно, чем метод, который я пытаюсь) без использования SSL

Я ценю помощь.

Мэтт

Answer 1

Настройка файлов cookie не обязательно должна быть началом сценария - это должно произойти до того, как вы фактически выведите какой-либо HTML (или заголовки http, такие как перенаправление).

Да, очень удобно читать и устанавливать файлы cookie вместе с $ _POST и $ _GET. Вы устанавливаете куки с помощью функции setcookie в PHP и читаете их из $ _COOKIE.

С точки зрения безопасности, вам просто нужно подумать о нескольких вещах. Например, пользователь может видеть и изменять содержимое файлов cookie. Любой вышестоящий в сети может потенциально сделать то же самое. Ключ заключается в том, чтобы не хранить данные в файле cookie, который должен быть «безопасным».

Answer 2

Используйте такой инструмент, как Firebug в Firefox и посмотрите на вкладку Net, затем разверните раздел деталей каждого запроса, чтобы посмотреть заголовки запроса и ответа. Это должно помочь вам лучше понять тему.

Файлы cookie - это произвольные текстовые значения, отправляемые в заголовке ответа перед отправкой реального веб-сайта. Они говорят браузеру сохранить их где-нибудь и отправить их обратно в исходный домен в заголовке запроса для каждого последующего запроса.

Это означает, что они могут быть отправлены вместе с любым заголовком ответа. POST является типом запроса и, следовательно, не имеет отношения к настройке файлов cookie. Браузер может отправлять куки на сервер вместе с запросом POST.

Вы можете выполнить любой скрипт перед установкой файлов cookie. Но , поскольку файлы cookie необходимо отправлять в заголовке, вы не можете отправлять их после того, как начали выводить веб-страницу.

В заголовке ответа есть только один способ установить куки. Единственный безопасный способ установить cookie-файл - это отправить его с флагом secure по SSL, что означает, что cookie-файл не следует отправлять обратно на сервер через не-SSL-соединения. Вот и все. Поэтому тщательно продумайте, какую информацию помещать в файлы cookie.

Сессии могут решить эту проблему. Сессия просто отправляет бессмысленный токен в виде cookie и использует его для извлечения данных, хранящихся на сервере.