Meter valores en cookies o arrastrarlos por POST
6 seguidores
Hola amigüitos...
vengo con otra duda :S estoy desarrollando una tienda, con proceso de compra, cesta, visa etc...
no se utiliza registro de usuarios, de manera que cuando el cliente inicia una compra, me genero un ID unico de estos de PHP con el guid()... entonces.. mi grandisima y absurda duda es;
le endiño una cookie una vez generado, que espire a la hora, e implemento todo el proceso de verificación de si tienes las cookies activadas etc.. que acompaña al tema.
O bien, la meto en un hidden y voy arrastrando por post el id del usuario...
????
Mil gracias. (hoy estoy preguntón)
markshock
pues será lo mejor... mostrarle el mensaje de que ha de activar las cookies, mostrarle una paginita de como hacerlo y arreando que es gerundio!
gracias a todos/as por la dedicación.
dagi3d
si el usuario no tiene las cookies activadas y tienes habilitada la opción session.use_trans_sid, php pasa automáticamente el id de la sesión a la url para cada petición. ahora bien, esto tiene el problema de los buscadores, que te indexarán las urls con un id de sesión y queda bastante feuno, aparte de resultar un poco más inseguro para el usuario.
yo simplemente me limitaría a obligar a tener las cookies habilitadas si quiere comprar y trabajar con sesiones, que siempre resulta más cómodo
markshock
Ventd'Aval
yo de seguridad se muy poquito, pero todo esto no es mejor gestionarlo con variables de sesion y tal? :S
nos encontramos con el mismo problema que con las cookies, si no tiene las cookies activadas, no funcionan las variables de session...
equili qua (o como se escriba) jajaja
Ventd'Aval
yo de seguridad se muy poquito, pero todo esto no es mejor gestionarlo con variables de sesion y tal? :S
markshock
Kr0n
<div class="quote">
Kr0n
<blockquote>Ah, y yo diría que cookie, ver esas cosas de usuarios ocultas en un formulario me resultan bastante feo.</blockquote>
</div>
y añado: ...y también me dan sensación de poca seguridad (sea o no sea justificada, como es el caso).
estoy contigo..... aish.. que indecisión, creo que me lo jugaré con un dado jajaja
Kr0n
Kr0n
Ah, y yo diría que cookie, ver esas cosas de usuarios ocultas en un formulario me resultan bastante feo.
y añado: ...y también me dan sensación de poca seguridad (sea o no sea justificada, como es el caso).
markshock
Kr0n
Creo que lo de Sole de la seguridad iba más en general, que en este caso en concreto, no?
digo yo que si...
En este caso, salvando el tema de la encriptación, que la veo como una segunda decisión, la primera decisión es;
¿Meto el guid en una cookie con tiempo de expiración de 1 hora, teniendo que implementar a su vez la susodicha comprobación de si tiene las cookies del navegador activadas o no?
¿O meto el guid en un hidden, y me lo voy arrastrando x todo el proceso hasta que finalize?
E aquí la cuestión....
markshock
happywebcoder
Lo que no termino de ver (quizá estoy un poco cansado a estas horas) es cuál es el peligro durante el proceso de compra: si no hay registro de usuarios y el pago con tarjeta es el último paso, ¿para qué es necesario encriptar las cosas? ¿El peligro es que alguien acierte el guid de otro usuario y le añada artículos a la cesta de la compra?
Ya os digo que seguramente estoy cansado, pero no termino de ponerme en situación... :(
exacto.... creo que ese es el único riesgo....
el tema, mas que la encriptación o no, es el echo de guardar eso en cookies o en un campo hidden... vamos.. como gestionar ese dato durante el proceso..
ni mas, ni menos...
Kr0n
Creo que lo de Sole de la seguridad iba más en general, que en este caso en concreto, no?
happywebcoder
Lo que no termino de ver (quizá estoy un poco cansado a estas horas) es cuál es el peligro durante el proceso de compra: si no hay registro de usuarios y el pago con tarjeta es el último paso, ¿para qué es necesario encriptar las cosas? ¿El peligro es que alguien acierte el guid de otro usuario y le añada artículos a la cesta de la compra?
Ya os digo que seguramente estoy cansado, pero no termino de ponerme en situación... :(
Kr0n
Hombre, si dice que está generando el id del usuario con guid, a la hora de iniciar una compra, veo complicado lo que dice Sole.
De cualquier forma, siempre se puede hacer el md5 de user+password, o en este caso id+time(), aunque con el guid debería bastar. Ah, y yo diría que cookie, ver esas cosas de usuarios ocultas en un formulario me resultan bastante feo.
happywebcoder
Perdonad, creo que no termino de entender el problema :( ¿A qué parte del proceso de compra os estáis refiriendo?
sole
No, te pueden seguir manipulando. Podria alguien abrir la web, y meter a mano el md5 de la id del usuario al que tengan mas tirria, y enviar el formulario igualmente ;)
markshock
aja, entonces, si lo meto en un hidden encriptado con md5... por mucho que manipulen... ya se pueden dar contra la pared que no lograrán nada...
es que le tengo algo de tirria a las cookies, no me barrufan (lease no me molan nada)
sole
Si lo metes en un hidden, cualquiera con la web developer toolbar puede manipular el valor. Lo cual supongo que no te interesa.
Si lo metes en una cookie tambien es posible manipular el valor, aunque es un poco menos facil.
Lo suyo es que lo hagas con todo el proceso que comentas, y encriptes un poquito por aqui y por alli.