php-sessies en cookies webshop

Voor zover ik weet duren $_SESSION's tot de browser sluit, of je moet iets in php.ini aanpassen. Zo werken veel shops ook. Maar bind me er niet op vast, ik werk eigenlijk nooit met $_SESSION's

Behalve als je al klant bent en ingelogd, wordt je 'sessie' opgeslagen in een cookie zodat je winkelmandje voor een lange tijd bewaard blijft.

[ Voor 35% gewijzigd door Saven op 30-03-2012 16:49 ]

#3 Cookies gebruikte ik voornamelijk voor het verifiëren van een gebruiker bij een opgeslagen sessie. Stel iemand logt in op een publieke ruimte (bibliotheek e.d.) en vinkt aan dat hij ingelogd wilt blijven. Vervolgens blijft zijn account dus open staan ook als iemand de computer afsluit. Later logt hij thuis in en en zijn sessie blijkt daar ook actief. Door een hash in de cookie op te slaan en in je database kan je vergelijken of de laatste sessie overeenkomt met de nieuwe sessie. De sessie (in dit geval in de bieb) is dan dus automatisch inactief geworden, aangezien er al een nieuwe hash vanuit thuis is aangemaakt. Dus ik sla meestal een hash en de user id op in de cookie. Niks meer.

Een sessie is 28 minuten geldig bij inactiviteit op de site. Ook bij het sluiten van de browser wordt de sessie verwijderd.

Je doet je onderzoek precies verkeerd om. Sessies en cookies zijn een middel, niet een doel. Je moet bepalen wat de functionaliteit is die je wilt bieden en de veiligheid die je wilt garanderen. Daaruit volgt vervolgens een setje eisen waaraan je (of een) oplossing moet voldoen en pas dan kun je echt bepalen welke technieken je daar het beste voor kunt gebruiken.

Hoe lang een sessie geldig moet blijven is niet relevant. Hoe lang een gebruiker ingelogd moet blijven, of hoe lang een winkelmandje gevuld moet blijven voor iemand die niet ingelogd is, is dat wel.

Op #3 is wel een antwoord te geven:
Cookies - gegevens die je voor korte of lange tijd wilt bewaren waarbij het niet belangrijk is dat daar mee geklooid kan worden. Deze gegevens kun je als shop niet vertrouwen, ze kunnen in principe door iedereen gelezen en aangepast worden. Deze gegevens worden bij de bezoekers zelf opgeslagen en zijn dus per bezoeker.
Sessie - gegevens die je voor de duur van een bezoek kunt bewaren per bezoeker. Deze gegevens zijn wel te vertrouwen en kunnen alleen door je site zelf aangepast worden.
Database - gegevens die je langer kunt bewaren en die voor de hele applicatie gelden en bereikbaar zijn. Ze zijn alleen door je applicatie aan te passen en dus erg betrouwbaar.

[ Voor 38% gewijzigd door Janoz op 30-03-2012 22:13 ]

Je kan ook eens wat open-source webshops installeren, kijken hoe hun het doen (prestashop, magento,osCommerce, etc)