Комментарии: Зачем хранить сессии ($_SESSION) в базе данных

Автор: Vladimir

Vladimir — Wed, 04 Jan 2012 16:47:15 +0000

Сессии хранятся в базе, чтобы сопоставить аккаунт юзера с зашедшим пользователем, без повторного запроса пароля. Куки хранят session_id, а в базе хранится соответствие этого session_id с id пользователя. Хранить в куках Id пользователя нельзя, так как любой может вписать id админа и получить полный доступ. В связи с этим, необходимость хранения сессий в базе очень актуальна.
Да, без таблиц можно обойтись. Например, если хранить помимо id пользователя какой-нибудь хэш.
Допустим, хэш будет от id пользователя и его секретного кода (который будет генерироваться при регистрации). Кука будет вида: user_id|hash. В авторизации будем брать данные юзера, генерировать хэш и сверять с тем, что в куках. Если все ок — то пускаем пользователя под этими данными. Такой способ возможен, но не так гибок: нельзя сосчитать количество онлайн, определить онлайновость пользователя. Можно, конечно, обновлять таймштамп в таблице пользователя. Но если пользователей много, это приведет к многочисленным блокировкам.
Короче без сессионной таблицы можно обойтись в малопосещаемых сайтах.

Автор: saintist

saintist — Mon, 04 Apr 2011 17:39:12 +0000

все верно

пока не авторизирован храним в куках

авторизированный храним в сессии в БД, что дает для авторизированного пользователя хранить кроме текущей сессии еще и историю заказов и т.п.

Автор: Дмитрий

Дмитрий — Mon, 04 Apr 2011 17:08:20 +0000

Ещё «маленькое» уточнение.
В сессиях хранятся временные ID коды пользователя, коды товаров и их количество, а cookies хранится информация об идентификаторе сессии и идентификационный номер пользователя который уже зарегистрирован и авторизовался а если он гость то он не имеет куков для авторизации (он сам выбирает регистрироваться или быть просто гостем) Правильно?

Получается двойственное действие скрипта если гость — то работает все через сессию вплоть до оплаты. Но если он регистрированный пользователь то его сессия уже должна быть постоянной, но так как сессия меняется надо при авторизованном пользователе использовать его идентификационный номер (в куках).
И опять присваивать временный код сессии и грубо объединять для работы сессию и личный код пользователя что бы он мог купить что то.

В тексте сплошная тавтология — но может вы поймёте меня?

Автор: saintist

saintist — Mon, 04 Apr 2011 16:45:54 +0000

да все правильно поняли

Автор: Дмитрий

Дмитрий — Mon, 04 Apr 2011 16:38:02 +0000

Огромное спасибо за статью, очень конкретно написано.

Я бы все так и хотел уточнить на примере скажем оzon .ru

Я зашёл на сайт (стартует сессия и записывается номер ее в базу).
Я хожу по ozоn смотрю книги (старт сессия — проверяется что я уже есть и все)

Выбираю книгу -> перехожу на страницу корзины (старт сессии (я есть) и заносится в базу мой выбор)

Выбираю количество -> обновить (старт сессии- и добавление количества товаров)
Нажимаю кнопку оплатить (Старт сессии — извлечение данных о моем выборе, то есть там номер книги и количество ) и уже иду оплачивать. (старт сессии — сверка — удаление сессии из базы)

Примерно я правильно написал?