În rest, recomand session.use_only_cookies setat pe 1. În mod “tradițional” PHP-ul era vulnerabil la session fixation trimis prin GET (cacalamal.php?SESSIONID=[insert coin to continue]) și se prea poate să mai fie, dar n-am testat, la mine 1 e implicit. Deasemenea n-ar strica session.cookie_httponly pentru cei cu PHP 5.2.0+ pentru că poate evita citirea cookie-ului ce conține Session ID-ul prin metode XSS pe browserele ce respectă flag-ul respectiv și pentru XmlHttpRequest, unde cele bazate pe Gecko sunt acoperite de ceva vreme.

Printre altele, legat de exemplul de cod din articol, recomand ca flag-urile de autentificare (cum e acel $_SESSION['isLogged'] = true să fie verificare corect.

if ($_SESSION['isLogged'])

nu e tot una cu

if ($_SESSION['isLogged'] === true)

chiar dacă pentru valoarea true se evaluează la fel. În plus, nu recomand ca autentificarea să se facă pe bază de sesiune, ci mai degrabă prin cookie trimis doar prin conexiune SSL, dacă se poate (în general nu se poate SSL pe shared hosts datorită arhitecturii proaste Apache + mod_ssl și pentru faptul că majoritatea oricum fac oversell pe shared), iar verificarea datelor de autentificare să se facă la fiecare cerere. Da, e un “overhead” acolo, dar modelul acesta “stateful” pentru autentificare a ridicat suficiente probleme de securitate de-alungul istoriei.

Ac6um eu știu că acest articol este dedicat începătorilor, dar o trântesc aici ca să nu mai umplu alte pagini de comentarii: începătorii de azi, coderii de mâine. PHP conduce detașat la capitotlul “web security issues” pentru un motiv anume: cred că 90% din cei ce se auto-intitulează “PHP coders” sunt pastă, Joomla groupies programmers wannabes. Pentru cei ce au ceva de obiectat la propoziția anterioară, un search pe Secunia este relevant. De cele mai multe ori particula defectă stă între scaun și tastatură din moment ce doar aproximativ 1% din problemele de securitate ale PHP sunt generate de către nucleul limbajului. Deci încă de la început ar trebui ca lucrurile să fie făcute bine. Eu inițial le-am învățat prost și a trebuit să depun eforturi substanțiale pentru a uita mizeriie învățate în școală legate de PHP.

ps: in god we trust! everything else must have md5 checksum!

Am si eu o nelamurire: Daca apelez funcia session_start() si apoi scot niste informatii din variabila $_SESSION trebuie apoi sa apelez functia session_destroy() sau se apeleaza singura cand se termina scriptul? Din ce am inteles eu, aceasta functie este inversul functiei session_start(), deci nu distruge si continutul variabilei $_SESSION… Ca sa sterg date din $_SESSION, eu am folosit unset($SESSION(‘whatever’)).

PS: Poate reusesti sa scrii un articol mai detaliat despre sesiuni si despre restul functiilor PHP legate de acestea…