[PHP]sesie a bezpieczeństwo Opcje

[peter13135]

czy hacking przez użycie dziur w sesjach jest możliwy?? czy trzeba te sesje jakoś zabezpieczać??
pytan bo twoże swojego niby-cmsa, no i wiele info trzymam w sesjach, niechciałbym by ktoś sam sobie usawiał sesie

[wookieb]

Nikt nie może zmienić zawartości sesji ani samodzielnie jej zmieniać. Moze jedynie komus wykraść sesje wykradając jego id. Dlatego warto odnawiac id sesji do odswiezenie strony.

[Crozin]

Istnieje kilka radzajów ataków. Session Injection, Session Fixation, wspomniane przez wookie skradzenie identyfikatora i wiele innych.

Warto:
1) Używać session_regenerate_id" title="Zobacz w manualu PHP" target="_manual, bądź (jeżeli posidasz własny mechanizm sesji) odpowiednik tej funkcji + identyfikacja po IP + ew. identyfikacja po nazwie przeglądarki
2) Żeby Ci do głowy nie przyszło zrobienie czegoś takiego

[PHP] pobierz, plaintext 
<?
$_SESSION[$_GET['cosTam']] = $_GET['cosInnego'];
?>
[PHP] pobierz, plaintext 

Bo to gotowy przepis na katastrofę (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
3) Upewnić się czy inni użytkownicy serwera (jeśli takowi istnieją) mają dostęp do Twoich sesji
4) I wiele, wiele innych
5) Użyć wyszukiwarki/Google bo było sporo na ten temat

[peter13135]

no ja mam w ten sposób
np logowanie i jeżeli ktoś sie poprawnie zaloguje to
$_session[zalogowany] = nick z bazy
$_session[user_rank]= ranga z bazy