Sesja i bezpieczeństwo logowania Opcje

[Napster]

Stworzyłem małą stronę z systemem użytkowników. Każdy użytkownik posiada na swoim koncie dość ważne dane.

Przy logowaniu, po podaniu poprawnych danych tworzę tablicę:

[PHP] pobierz, plaintext 
$user = mysql_fetch_array(mysql_query('SELECT * from users WHERE `username`='.$post_username.' LIMIT 1'));
[PHP] pobierz, plaintext 

Do tego sesję:

[PHP] pobierz, plaintext 
session_register('user_id');
session_register('logged');
$_SESSION['user_id'] = $user['ID'];
$_SESSION['logged'] = 1;
[PHP] pobierz, plaintext 

Potem na każdej podstronie potrzebuje znać nick użytkownika:

[PHP] pobierz, plaintext 
$nick = $user['username'];
[PHP] pobierz, plaintext 

Czy takie rozwiązanie jest bezpieczne? A jeśli użytkownik nadpisze sobie sesję (w Firefoxie takie coś widziałem) i poda ID innego użytkownika, to zdobędzie dostęp do jego danych i konta?

Może jakieś inne, lepsze rozwiązanie logowania i sesji?

[Uriziel01]

Z pewnością nie nadpisze sesji gdyż nie jest ona trzymana po stronie użytkownika, może jedynie zmienić wartość ID sesji w ciastkach. Co do zabezpieczenia, można to zrobić na wiele sposobów ale jak wiadomo nic nie jest absolutnie bezpieczne, możesz przykładowo zapisać do sesji podczas logowania adres IP użytkownika i sprawdzać je później aby uchronić się przed 'Session Hijacking', Google podpowie ci pozostałe.
Tutaj też masz małe co-nieco:
http://php.pl/Wortal/Artykuly/Bezpieczenst...ssion-Hijacking

I przede wszystkim nie możesz robić autentykacji po user ID, to są ogólnie dostępne dane i łatwo je zdobyć, wszędzie używaj ID sesji.

Ten post edytował Uriziel01 16.01.2012, 14:08:05