Привет всем! Вспоминаю PHP в связи с началом программирования под Android. Написал несколько страниц по выборке, редактированию данных в формате JSON. Все работает. На стороне файла db_connect.php стоит временная заглушка, где логин, пароль,хост и база вшита уже.(для тестирования). К нему идет подключение из всех страниц с CRUD и в общем то в тесте все работает как надо.
На стороне сервера MySql используется родная авторизация, с прописанными ролями ,триггерами, функциями (то есть без дополнительных велосипедов в виде таблицы users и проч.) И тоже все работает как надо.

Формат работы с php+mysql: точечное соединение/запрос/закрытие соединения. Пароль и логин храниться в классе Java на android (не в инет браузере, а в приватном классе скомпилированного приложения в sndroid. И то только ,если пароль и логин успешный. ). Никаких куков, сессий нет. То есть порядок следующий - подключился/ запросил/отключился.

Но вопрос в общем то назрел, не в разрезе android, а в разрезе PHP, давно хотел дожать. Смотрите, есть небольшой код авторизации на PHP, написал ради теста. Код простой. Я написал простую форму авторизации.

Подскажите пожалуйста, как правильно использовать сессию $_SESSION, чтобы после ввода правильного логина и пароля уже юзать в дальнейшем только сессию? Код авторизации чуть ниже и он прост.

Hett,

Не, вы не правы, у меня доступ идет не через дополнительную таблицу users , а через полноценный логин и пароль пользователя базы данных на mysql. То есть нет дополнительного искуственно созданного текстового поля для хранения session_id. Родная аутентификация на mysql. То есть юзер- пользователь базы данных (с полноценным распределением прав, доступом к хранимым процедурам, триггерами и пр.)
Думаю ,что в данной ситуации азы это не то слово. Думаю что при таком классическом варианте защиты пользователя с полноценной ролью вы со своими "не азами" тоже не сможете использовать session))

...из соображений безопасности естественно не сможете.

OldMaster,

мешает то, что я открыл браузер в режиме разработчика и увидел там и session_id , и переменные login и password , внесенные в сессию)) Это удобно конечно, можно всегда обратиться, но стремно.

Думаю лучше использовать подключение с PDO, и ссылаться на файл подключения из остальных страниц. Без куков и сессий.

OldMaster,

вы правы, я неверно выразился.
Имел в виду ,что если я при открытии сессии пихаю туда переменные, то их можно выдернуть оттуда, просто вызвав по имени.
Но это в общем то и есть одно из свойств сессии как понимаю. Это по сути разновидность глобальной переменной , которая одновременно является и идентификатором входа, и одновременно хранит информацию, которую я туда внес дополнительно.
Чтобы потом к примеру, при переходе на другую страницу мог ее взять из сессии и использовать по своему желанию.

Написал мини проект под андроид. Там все работает. логин и пароль в случае успешного подключения хранится зашифрованный на время работы приложения в самом приложении. Просто обращаюсь с ним к страницам, которые обрабатывают его и нарезают мне Json (на основные действия CRUD ). На десктопе MS Access + ODBC + MySQL с родной аутентификацией.

Вот решил , раз уж есть десктоп , можно и web интерфейс простенький сделать, и тут впоролся на самом простом, сессиях))