Сведения о вопросе

MAT

02:20, 7th August, 2020

Теги

PHP   Сессии    

Стоит ли хранить данные о пользователе в сессиях?

Просмотров: 439   Ответов: 5

И собственно вопрос как лучше это делать.

Т.е к примеру я авторизую пользователя на сайте, создаю сессию и ее ID записываю в куку.

Далее, у пользователя есть куча данных, его логин, ID, ID всех городов, стран и областей проживания, его почта, теелфон и т.д. Все это может хранится в нескольких таблицах. Доступ к этим данным необходим если не на каждой странице то очень часто и везде дергать MySQL выбирая нужные данные, пускай и универсально, не очень хочется.

Возникает вопрос, стоит ли хранить всю пачку данные привязывая их к сессиям и как это сделать универсальнее, дабы потом легко эти данные выдергивать.

Т.е писать в таблицу:

session_id | serialize_data

или иначе как-то?

Все на любимом РНР )



  Сведения об ответе

PHPH

05:25, 13th August, 2020

То есть дублировать данные в БД, реализовав собственный механзим сохранения сессионных данных? Имхо, не стоит, если нет каких-то очень специфических требований — или дёргайте БД при каждом запросе или дёргайте её только при аутентификации и пользуйтесь стандартными средствами сессий для сохранения полученных из БД данных для дальнейшего использования


  Сведения об ответе

qwerty101

22:30, 1st August, 2020

1. Данные сессии — временные, отталкивайтесь от этого.
2. В вопросе, судя по всему, речь идет о постоянных данных — их хранить в профилях пользователей в базе.
3. Если не хотите каждый раз дергать базу, хотя в этом нет ничего плохого, делайте кеширование.
4. В PHP есть встроенный механизм сессий, свой изобретать не нужно. Бекэнды могут быть разные — файлы, БД, memcached, можно реализовать свой.


  Сведения об ответе

$DOLLAR

22:14, 28th August, 2020

Зачем? Если, я почти уверен, эти же данные хранятся в таблице рядом. Храните только информацию которая позволит узнать пользователя и его незавершенную сессию, а как следствие и восстановить данные в $_SESSION Вашего приложении.


  Сведения об ответе

P_S_S

06:43, 1st August, 2020

Думаете вы в верном направлении, вот только с сессией чуток ошиблись.
Почему забыли?

Давай-те вспомним причинно-следственную связь: Сессия — это объект кого-то конкретного пользователя (ранее аутентифицированого), соответственно сохраняя данные о пользователе в сессии вы нарушаете причину и следствие.

Предлогаю использовать следующее:
Создать статический класс (думаю это возможно в PHP. В .NET за это отвечает System.Threading.Thread.CurrentPrincipal). И данные текущего пользователя складывать именно в значение свойства статического класса. (Да, есть возможность не санкционированной подмены данных, но с другой стороны можно проводить имперсонализацию (impersonation). А само значение организовать ввиде структуры, которая бы могла быть сериализирована.

Сериализация этой структуры нужно для того, что бы после этого результат шифровать (там есть свои нюансы) и ввиде ОТДЕЛЬНОЙ Cookie складывать на сторону пользователя. А при запросе проверять значение cookie, и востанавливать значение свойства вышеозначеного статического класса.

Подобный подход упростит вам аутентификацию пользователя после перезапуска приложения (ведь сессия — это объект в памяти).

Важные моменты:
1. Не корректное использование шифрования, может привезти к проблемам с безопасностью (значение зашифрованых данных можно сохранить и вторично использовать)
2. Не забыть про синхронизацию данных и учитывать момент того, что во время работы могут быть моменты когда данные рассинхронизированы
(Кто-то в базе уже поменял, а пользователь всё ещё использует старый набор данных. Лечить можно login/logout, если «влоб»).

Будут вопросы, обращайтесь.


  Сведения об ответе

nYU

03:50, 6th August, 2020

Авторизовали — Получили из БД все необходимые данные — Записали их в $_SESSION — До выхода пользователя с сайта дёргайте $_SESSION


Ответить на вопрос

Чтобы ответить на вопрос вам нужно войти в систему или зарегистрироваться