Sesiones en PHP: Uso, Inicio y Cierre Seguros

Clase 5 de 22 • Curso de PHP: Cookies, Sesiones y Modularización

Contenido del curso

Debugging

Cookies y sesiones

Manejo de excepciones

Trabajando con fechas

Modularización

Cierre

22
Conocimientos Intermedios de PHP: Debugging, Cookies y Modularización
04:03 min

Tomar examen

Resumen

Cuando construyes aplicaciones web que necesitan reconocer a cada usuario de forma individual, las sesiones se convierten en una herramienta fundamental. A diferencia de las cookies, las sesiones almacenan la información de manera encriptada, lo que las hace ideales para crear sistemas de autenticación seguros en PHP.

¿Qué son las sesiones y en qué se diferencian de las cookies?

Las sesiones comparten similitudes con las cookies, ya que ambas permiten personalizar la experiencia del usuario en el navegador. Sin embargo, existe una diferencia clave: los datos de una sesión están encriptados y no son accesibles de forma directa por cualquiera [0:28].

Una sesión permanece activa mientras el usuario esté autenticado y contiene datos específicos de ese usuario en particular. Algunos puntos importantes:

La sesión se mantiene viva mientras el usuario no cierre su cuenta.
Todos los datos almacenados están protegidos mediante encriptación.
Al hacer logout, la sesión se destruye y toda la información almacenada se borra por completo [1:06].

Esto significa que cuando un usuario decide cerrar sesión, ya no tiene sentido conservar esos datos activos, por lo que se eliminan de forma automática.

¿Cómo se inician las sesiones con session_start?

Para trabajar con sesiones en PHP, es necesario utilizar la función session_start al inicio del archivo [1:30]. Esta función le indica a PHP que se van a utilizar sesiones en esa página.

Si no se llama a session_start, cualquier intento de usar sesiones no funcionará.
Debe colocarse en todos los archivos donde se necesite trabajar con sesiones.
Es fundamental no llamarla dos veces en el mismo archivo, ya que esto puede generar errores o conflictos [2:46].

Un caso común de error ocurre cuando se incluye un archivo externo que ya contiene su propia llamada a session_start. Si el archivo principal también la tiene, se produce un conflicto por duplicidad. Por eso es importante verificar que la función se ejecute una sola vez por solicitud [3:04].

¿Cómo se usa la variable superglobal SESSION?

PHP ofrece una variable superglobal llamada $_SESSION que funciona como un arreglo asociativo [1:58]. A diferencia de $_COOKIE, trabajar con $_SESSION resulta más sencillo, ya que permite leer y escribir datos de forma directa.

$_SESSION es un arreglo único por usuario.
Contiene toda la información que se defina al momento de iniciar sesión.
Usualmente almacena datos del usuario como nombre, correo o rol.
Al cerrar sesión, el contenido del arreglo se limpia automáticamente [2:30].

El flujo completo es bastante directo: se inicia la sesión con session_start, se llena el arreglo $_SESSION con la información del usuario autenticado y, cuando se hace logout, ese arreglo se vacía por completo.

¿Cuál es el flujo básico de una sesión en PHP?

El ciclo de vida de una sesión se resume en tres pasos esenciales:

Iniciar: llamar a session_start() para habilitar el uso de sesiones.
Llenar: asignar los datos del usuario al arreglo $_SESSION.
Destruir: al hacer logout, limpiar el arreglo y finalizar la sesión.

Este mecanismo es la base sobre la cual se construyen los sistemas de autenticación en PHP. Comprender cómo funciona cada paso te permitirá implementar controles de acceso y experiencias personalizadas de forma segura.

Si ya trabajaste con cookies y entiendes su funcionamiento, las sesiones te resultarán un paso natural hacia aplicaciones más robustas. ¿Has tenido problemas con la duplicidad de session_start en tus proyectos? Comparte tu experiencia.

Comentarios

Juan David Rueda Quiroga

student•

Algo curioso es que al usar sesiones es que crea una cookie llamado PHPSESSIONID, si no hacemos que las sesiones expiren puede implicar una VULNERABILIDAD DE SEGURIDAD.

Ejemplo 1: Si yo como atacante capturo el trafico de la red (Solo si no se tiene HTTPS) puedo buscar la cookie PHPSESSIONID y pegarla en mi navegador, eso me da acceso sin clave ni usuario, o lo que sea que estemos usando con esa sesión
Ejemplo 2: Si yo tomo un PC en el momento que la víctima se ausente y copio el PHPSESSIONID para después de un tiempo pegarla en mi pc y acceder.

Solución:

usar session_regenerate_id
Definir un timeout en el php.ini ()
En la mayoría de los casos basta con la 2 y muchos servicios de hosting lo tienen ya configurado, pero sí es bueno hacer uso de 1 y 2

Remberto Alvaro Molina Colodro

student•

Interesante lo que sucede de fondo

KEVIN CAMILO BARRETO VARON

student•

Buen dato, creería que limitar el tiempo de las sesiones es muy importante a diferentes niveles. <br>

A nivel de código y servidor para blindar un poco el sistema en el tema de seguridad.
Experiencia de usuario.

Walter Omar Barrios Vazquez

student•

La función session_start() nos permite comenzar a usar sesiones. Tenemos la variable superglobal $_SESSION que es un arreglo.

AXEL MANUEL MOSQUEDA DE LA CRUZ

student•

Que son las sesiones

Son muy similares a las cookies, pero estas nos permiten implementar sistemas de autenticacion dentro de nuestros sition web. Una sesion es una cookie temporal y encriptada que estrá viva y contendrá toda la informacion del usuario mientras esté activa

Las sesiones se destruyen en cuanto hacemos logout. Con las sesiones podemos tener informacion especifica de un usuario para pesonalizar el contenido que le mostramos

Con la funcion session_start() podemos decirle a PHP que queremos empezar a trabajar con sesiones, siempre hay que incluirla en todos los archivos en donde queremos usar sesiones

Una vez que tenemos una sesion iniciada, podemos empezar a escribir y obtener datos a traves de la variable superglobal $_SESSION (Un arreglo de datos unico por usuario), cuando cerremos la sesion estos datos serán borrados

Debemos tener cuidado de no usar dos veces la funcion session_start, ya que esto puede provocar un error

Juan Pablo Campuzano Monsalve

student•

Gran resúmen!

Beder Danilo Casa Condori

student•

Las sesiones en PHP almacenan datos del usuario (encriptados) mientras están activas, permitiendo crear sistemas de autenticación. Se inician con session_start() (una sola vez por archivo) y se destruyen al cerrar sesión (logout), borrando el arreglo superglobal $_SESSION.

Alejandro Gomez

student•

que es mejor para manejar la autenticación, cookies, sesiones, o algun tercero como oAuth?

Nestor Fabian Vargas Ferrucho

student•

La elección entre cookies, sesiones o un sistema de terceros como OAuth depende de varios factores, como los requisitos de seguridad, escalabilidad, la arquitectura de la aplicación y las necesidades específicas del proyecto.

Eduardo Reyes

student•

Las sesiones son similares a las cookies y nos permiten implementar sistemas de autenticación en nuestro sitio web. Son cookies temporales y encriptadas que contienen la información del usuario mientras están activas. Con la función session_start() podemos empezar a trabajar con sesiones en PHP y la variable superglobal $_SESSION nos permite escribir y obtener datos de la sesión. Es importante tener cuidado de no usar la función session_start dos veces para evitar errores.

Diego Frank Lipa Choque

student•

La función session_start() en PHP se utiliza para iniciar una sesión de usuario y habilitar el uso de variables de sesión.

Una sesión de usuario es un mecanismo para mantener información persistente entre solicitudes de páginas web. Cuando un usuario visita un sitio web y comienza una sesión, se genera una identificación de sesión única que se almacena en una cookie en el navegador del usuario. A partir de entonces, cualquier variable de sesión que se defina estará disponible para su uso en todas las páginas del sitio web durante esa sesión.

La superglobal $_SESSION se utiliza para almacenar y acceder a las variables de sesión en PHP. Una vez que se ha iniciado la sesión con session_start(), las variables de sesión se pueden establecer y recuperar utilizando la matriz $_SESSION.

Ejemplo de uso de session_start() y $_SESSION en PHP:

<?php
// Iniciar la sesión
session_start();

// Establecer una variable de sesión
$_SESSION['usuario'] = 'Juan';

// Acceder a la variable de sesión
echo 'Bienvenido, ' . $_SESSION['usuario'];
?>

En este ejemplo, se inicia la sesión con session_start() y se establece una variable de sesión llamada 'usuario' con el valor 'Juan'. Luego, se accede a la variable de sesión en la última línea y se imprime un mensaje de bienvenida con el nombre de usuario.

Oscar Andres Yusti Noriega

student•

Son muy similares a las cookies, pero estas nos permiten implementar sistemas de autenticacion dentro de nuestro sitio web. Una sesión es una cookie temporal y encriptada que estará viva y contendrá toda la información del usuario mientras este activa

Las sesiones se destruyen en cuanto hacemos logout. Con las sesiones podemos tener información especifica de un usuario para personalizar el contenido que le mostramos

Con session_start() podemos decirle a PHP que queremos empezar a trabajar con sesiones, siempre hay que incluirla en todos los archivos en donde queremos usar sesiones.

Una vez que tenemos iniciada una sesión, podemos empezar a escribir y obtener datos a través de la variable superglobal $_SESSION.

$_SESSION es un arreglo con toda la información del usuario que se trae de una base de datos. Esta información es única por usuario.

Con session_destroy() terminamos la sesion

Sesiones en PHP: Uso, Inicio y Cierre Seguros

Debugging

Debugging avanzado en PHP: técnicas y herramientas

Debugging en PHP con Composer y Symfony Var-Dumper

Cookies y sesiones

Manejo de Cookies en PHP para Personalización Web

Trabajando con Cookies en PHP: Creación y Configuración Avanzada