cookie kodieren

[bppg]

du kannst doch den zufallswert mit zB. microtime() vergeben . dann sind die auf jedenfall unterschiedlich, selbst wenn zwei user zu selben zeit anfragen

 

[Loomis]

Schaut euch mal diesen Codeschnipsel an.

 

[Gumbo]

ich lege in der tabelle users noch ein feld "key" (oder ähnlich) an und speichere dort die zufallszahl, ebendiese auch im cookie - bei JEDEM request wird die zahl neu generiert und upgedated ...

Entweder so oder so ähnlich. Bei jedem Aufruf die Datenbank zu aktualisieren, ist natürlich etwas belastend. Basis könnte auch ein Zeitintervall oder Aufrufintervall sein.
Oder der Zufallswert wird nur in der Sitzung aktualisiert und erst mit dem Löschen der Sitzung in die Datenbank eingetragen. Dazu müsste allerdings ein eigener Garbage Collector geschrieben werden (siehe session_set_save_handler()-Funktion).
Der Cookie müsste dann in jedem Fall bei jeder Aktualisierung gesendet werden.

Aber zum login brauch ich mindestens einen der beiden werte, da falls sonst (ja sehr unwarscheinlich, aber nicht völlig auzuschließen [ausser man prüfts beim eintragen]) der zufallscode bei 2 usern vorkommt, weiss man ja nicht um welchen der Benutzer es sich handelt.

Wenn der Zufallsschlüssel genügend lang und eine gute Entropie aufweist, ist das kein Problem da Kollisionen zwar nicht unmöglich aber sehr unwahrscheinlich sind.
Die Sitzungs-ID ist standardmäßig auch nur 128 Bit lang. Trotzdem sind damit 16^32 = 2^128 ? 3,40282366921e+38 Permutationen möglich.

 

[bppg]

vielen dank. ich versuche es mit dieser idee. und geb euch dann mal bescheid^^

PS: wenn ich diese variante benutze: sollte ich da auf sessions verzichten oder soll ich diese bevorzugt einsetzen? denn schließlich funtionieren sessions doch ähnlich - oder irre ich?