When to use PHP cookies?

[kaitenz]

Hi guys, bago lang ako sa PHP. Natutunan ko yung about sa $_SESSION at $_COOKIE
Pero di daw safe gumamit ng cookies sa PHP kase hackable daw.

Mga LODI, pahelp naman na maintindihan ko ang advantage at disadvantage ng session at cookie at bakit mas "prefer" nila ang session kesa sa cookie. At kung kelan lang pwedeng gumamit ng setcookie().

Thanks mga LODI!

 

[jskhulitz]

COOKIES are used kapag gusto mo mag-save ng userdata na kahit kapag iclose nila ang browser, pagbalik nila ay magagamit pa din ng web app mo yung data.
SESSION naman kung gusto mo na mag-expire sya kasabay ng pagclose mo ng browser.

Now, kung gusto mo itry kung paano ini-exploit ang cookies, subukan mo pumunta sa sa lazada. Search for any item, for example electric fan. Basta browse for a while. Tapos punta ka sa facebook. Bantayan mo yung mga ads na ipapakita sayo ni facebook. Subukan mo din magbrowse ng kahit anong website (wag ka muna pumunta sa ibang ecommerce sites, para hindi ma-contaminate yung test sample natin), may napapansin ka ba sa mga banner ads at kahit yung maliliit na google ads sa gilid gilid? Yan ang cookie exploit.

 

[bdalina54]

COOKIES can last even a year kapag hindi ka ng clear cache.
Dependi yun sa lifetime na iseset mo.
Ginagamit ito para makalogin din automatically, or it just simply remember your cookie session. May mga website nakahit ilang days na Naka close ang browser mo pag binuksan nakalog in kapa din.


SESSION is more secure, pag nagclose ka ng browser. Automatically na dedestroy ang session. So pag binuksan ng iba log out na ang account mo.

At ang cookies madaling mahack gamit javascript.

Sa mga vulnerable sites yung may guesbook, forum, comment ka ng <script>alert(document.cookie);</script>. Kapag hindi na sanitize ang input na ito. Ilalabas nya cookie ng kahit na sinong naka view ng page. Ang ginagawa ng karamihan hindi alert kundi agaran sesisend sa fishing site ang cookie.


Kapag nakuha ng hacker ang cookie mo as an admin, hindi nya kailangan maglogin. Kung anu ang privilege mo makukuha nya gamit ang cookie.

Madalas ang cookie ginagamit din as local storage, yung mayroon mga timer ng download. Yung makakapag download ka after 1hour ulit. Ginagawako clearcache at denedelete ko ang cookie ng site so it bypass there javascript timer kc narereset ito.

At ang cookie ay kayang eset gamit javascript, while session is backend using php at asp etc.

 

[kaitenz]

So mga paps, mas prefer talaga ang $_SESSION kesa sa $_COOKIE? Inulit ko ulit yung PHP app na ginagawa ko kase mas na-hook ako sa session. Thanks mga paps! Big help.

About dun sa Lazada ads, oo napapansin ko yun. Kung ano yung last na visited item mo, yun yung target ad nila. Yung titan gel na brinowse ko lumabas sa FB. Nakakahiya tuloy. Hahahaha

One more thing, paano kung gusto ko ng may "Remember me" sa login? Paano ko sya gagawin kung kayang i-hack ang cookie gamit ang JS which is nagtry ako dito sa Symbianize at nakita ko yung "sf_lastvisit=1501948832; sf_lastactivity=0". Gusto ko kase kahit newbie lang ako sa PHP eh at least alam ko na yung security measurements sa PHP.

Thanks ulet.

 

[King James Harden Jr]

So mga paps, mas prefer talaga ang $_SESSION kesa sa $_COOKIE? Inulit ko ulit yung PHP app na ginagawa ko kase mas na-hook ako sa session. Thanks mga paps! Big help.

About dun sa Lazada ads, oo napapansin ko yun. Kung ano yung last na visited item mo, yun yung target ad nila. Yung titan gel na brinowse ko lumabas sa FB. Nakakahiya tuloy. Hahahaha

One more thing, paano kung gusto ko ng may "Remember me" sa login? Paano ko sya gagawin kung kayang i-hack ang cookie gamit ang JS which is nagtry ako dito sa Symbianize at nakita ko yung "sf_lastvisit=1501948832; sf_lastactivity=0". Gusto ko kase kahit newbie lang ako sa PHP eh at least alam ko na yung security measurements sa PHP.

Thanks ulet.

advantage lang ang remember me kung personal pc or mobile. hindi sya pang public. pede mo sya sabihing remember me equals cookie kung pinagaaralan mo p lang.

 

[bdalina54]

Pag gumamit ka ng remember me, kahit personal pc mo payan, hindi mawawala yung case na pwede kaparin mahack, remember me is like pag naglogin ka sa kahit anung site, may ino offer si firefox or chrome "do you want to save your password" or remember me?

nasisave ang credentials mo sa browser, tingnan mo sa save passwords sa browser mo.

Ang hacker kayang mag inject ng malware sa browser mo, yung mga search plugin sa toolbar, tapos napapalitan ang default search at homepage mo, tapos nag kakaroon ng pop up ads.

cgruro research ka kung may magandang way para sa "remember me".

 

[rovlendon]

thanks for sharing this valuable information about cookies...

 

[kaitenz]

I've learn a lot from you guys. Thanks. Dito na ko magtatanong. Ayoko na dun sa Stack Overflow, masyadong rude ang mga tao. Porket hindi perfect ang question mo at walang code (pinapaexplain ko lang kase), down vote na agad sa post mo. Dito, kapwa Pinoy ang sasagot sa tanong mo. Filipino language pa so easy lang intindihin kahit complex. Hahahaha.