Bezpieczeństwo skryptów PHP opratych na sesji

Bezpieczeństwo skryptów PHP opratych na sesji

Michael2318 Zobacz profil	2.02.2013, 11:43:54 Post #1
Grupa: Zarejestrowani Postów: 651 Pomógł: 116 Dołączył: 3.06.2012 Skąd: Lędziny Ostrzeżenie: (0%)	Zastanawiam się nad bezpieczeństwem skryptów opartych o php-owskie sesje oraz bazę MySQL. Załóżmy, że przy logowaniu, wyszukuję w bazie czy istnieje user o podanym haśle i nicku. Jeśli istnieje to tworzę sesję. No i właśnie... Do sesji nie powinno się przypisywać żadnych haseł/nicków, ale czy można przypisać ID danego usera? Co jeśli przypiszę sesję tak: [PHP] pobierz, plaintext $_SESSION['login'] = $user_id; [PHP] pobierz, plaintext gdzie $user_id to np. 1, czyli admin? Czy to jest 100% bezpieczne rozwiązanie? No bo jeśli w jakiś sposób dałoby się zmienić zawartość sesji i ktoś przypisze sobie do swojej sesji 1 to automatycznie jest na koncie admina i robi co chce. Pytanie czy tak się da? No i druga sprawa - dostęp do Panelu Admina (PA). Czy wystarczy, jeśli do PA będę wpuszczał osoby, które w bazie mają przypisane user_level (pole tinyint(1) default 0) == 1 ? Teoretycznie nikt sobie nie zmieni sam tej wartości bo musiałby mieć dostęp do bazy, a jesli już miałby dostęp do bazy to może wszystko, wiec czy taka alternatywa wytarczy, czy raczej trzeba dorzucić jakieś oddzielne logowania, cuda wianki?

Odpowiedzi

netmare Zobacz profil	2.02.2013, 12:59:19 Post #2
Grupa: Zarejestrowani Postów: 285 Pomógł: 37 Dołączył: 18.12.2007 Skąd: Łódź Ostrzeżenie: (0%)	Da się zmienić zawartość sesji na współdzielonym serwerze, jeśli nie używasz jakiegoś włanego handlera, albo własnego ustwienia session.save_path. Ten post edytował netmare 2.02.2013, 13:21:39

Posty w temacie

Michael2318 Bezpieczeństwo skryptów PHP opratych na sesji 2.02.2013, 11:43:54

pyro Cytat(Michael2318 @ 2.02.2013, 11:43... 2.02.2013, 11:57:38

Michael2318 Cytat(pyro @ 2.02.2013, 11:57:38 ) A ... 2.02.2013, 12:00:22

pyro CytatDziałanie sesji znam Nie znasz, bo te pytani... 2.02.2013, 12:06:32

Michael2318 CytatTo właściwie są pytania o to jak działają ses... 2.02.2013, 12:09:49

netmare Da się zmienić zawartość sesji na współdzielonym s... 2.02.2013, 12:59:19

Michael2318 W takim razie jakie będzie najlepsze ustawienie se... 2.02.2013, 14:11:37

reptile_rex @up Po prostu inne niż domyślne na hostingu? Doda... 2.02.2013, 15:31:54

netmare Cytat(reptile_rex @ 2.02.2013, 15:31... 2.02.2013, 16:52:04

reptile_rex Session Hijacking 2.02.2013, 17:02:18

netmare Mnie osobiście to nie przekonuje. Moim zdaniem wyk... 2.02.2013, 17:11:17

Damonsson Nie do końca, znaczniej łatwiej wykraść url niż co... 2.02.2013, 23:09:03

netmare Ja nie napisałem że nie jest łatwiej, tylko że jed... 3.02.2013, 22:45:31

pyro Cytat(netmare @ 3.02.2013, 22:45:31 )... 3.02.2013, 22:56:23

netmare To w jednym się zgadzamy. Ale to z refererem... sł... 4.02.2013, 08:25:46

pyro Cytat(netmare @ 4.02.2013, 08:25:46 )... 4.02.2013, 09:10:43

netmare Po pierwsze dałem przykład i poprosiłem Cię o wska... 4.02.2013, 09:52:17

netmare Cytat(pyro @ 4.02.2013, 10:27:09 ) No... 4.02.2013, 10:57:58

pyro Cytat(netmare @ 4.02.2013, 10:57:58 )... 4.02.2013, 11:12:46

pyro Cytat(netmare @ 4.02.2013, 09:52:17 )... 4.02.2013, 10:27:09

netmare Chodziło mi o prosty przykład strony o charkterze ... 4.02.2013, 11:45:26

pyro Cytat(netmare @ 4.02.2013, 11:45:26 )... 4.02.2013, 12:06:38

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 14.10.2025 - 16:16

Hosting zapewnia

Forum PHP.pl