Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Bezpieczeństwo skryptów PHP opratych na sesji
Michael2318
post
Post #1





Grupa: Zarejestrowani
Postów: 651
Pomógł: 116
Dołączył: 3.06.2012
Skąd: Lędziny

Ostrzeżenie: (0%)
-----

Zastanawiam się nad bezpieczeństwem skryptów opartych o php-owskie sesje oraz bazę MySQL. Załóżmy, że przy logowaniu, wyszukuję w bazie czy istnieje user o podanym haśle i nicku. Jeśli istnieje to tworzę sesję. No i właśnie... Do sesji nie powinno się przypisywać żadnych haseł/nicków, ale czy można przypisać ID danego usera? Co jeśli przypiszę sesję tak:

[PHP] pobierz, plaintext 
  1. $_SESSION['login'] = $user_id;
[PHP] pobierz, plaintext


gdzie $user_id to np. 1, czyli admin? Czy to jest 100% bezpieczne rozwiązanie? No bo jeśli w jakiś sposób dałoby się zmienić zawartość sesji i ktoś przypisze sobie do swojej sesji 1 to automatycznie jest na koncie admina i robi co chce. Pytanie czy tak się da?

No i druga sprawa - dostęp do Panelu Admina (PA). Czy wystarczy, jeśli do PA będę wpuszczał osoby, które w bazie mają przypisane user_level (pole tinyint(1) default 0) == 1 ? Teoretycznie nikt sobie nie zmieni sam tej wartości bo musiałby mieć dostęp do bazy, a jesli już miałby dostęp do bazy to może wszystko, wiec czy taka alternatywa wytarczy, czy raczej trzeba dorzucić jakieś oddzielne logowania, cuda wianki?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
netmare
post
Post #2





Grupa: Zarejestrowani
Postów: 285
Pomógł: 37
Dołączył: 18.12.2007
Skąd: Łódź

Ostrzeżenie: (0%)
-----

Chodziło mi o prosty przykład strony o charkterze płatnym, wyświetlającej nawet jakiś stayczny html z treścią, nie wiem np nowelizacje ustaw. Większym zagrożeniem nieutoryzowanego dostępu będzie przekazywanie loginu niż to że ktoś będzie łamał sesję żeby oszczędzić złotówkę. Ja prowadząc taki szukałbym możliwości włączenia trans_id, żeby umożliwić dostęp większej ilości osób (nawet jeśli byłaby to 5 osób schylałbym się po to, zwłaszcza że się zrobiła nagonka na "CIASTECZKA" śledzące, wchodzą nowe regulacje prawne i pewnie ludzie zaczynają się zastanwiać na akceptowniem ciasteczek). Jeżeli chodzi o przekazanie linka to zawsze można wkleić komuś po prostu goły tekst i wyjdzie na to samo. W prostym zakresie zawsze można niskim nakładem zdecydowanie ograniczyć użyteczność przekazanego id. Do tego zawsze można odejść od sesji PHP i obsługiwać sesję po swojemu wg id w url-u, a wtedy zawsze można skomplikować bardziej kwestię nieautoryzowanego wykorzystania identyfikatora. W sumie napisanie własnych sesji nie jest jakąś czasochłonną magią, choć ze względów bezpieczeństwa nie polecałbym tego rozwiązania raczkującym w temacie bezpieczeństwa skryptów (IMG:style_emoticons/default/smile.gif) .
Go to the top of the page
+Quote Post

Posty w temacie
- Michael2318   Bezpieczeństwo skryptów PHP opratych na sesji   2.02.2013, 11:43:54
- - pyro   Cytat(Michael2318 @ 2.02.2013, 11:43...   2.02.2013, 11:57:38
- - Michael2318   Cytat(pyro @ 2.02.2013, 11:57:38 ) A ...   2.02.2013, 12:00:22
- - pyro   CytatDziałanie sesji znam Nie znasz, bo te pytani...   2.02.2013, 12:06:32
- - Michael2318   CytatTo właściwie są pytania o to jak działają ses...   2.02.2013, 12:09:49
- - netmare   Da się zmienić zawartość sesji na współdzielonym s...   2.02.2013, 12:59:19
- - Michael2318   W takim razie jakie będzie najlepsze ustawienie se...   2.02.2013, 14:11:37
- - reptile_rex   @up Po prostu inne niż domyślne na hostingu? Doda...   2.02.2013, 15:31:54
|- - netmare   Cytat(reptile_rex @ 2.02.2013, 15:31...   2.02.2013, 16:52:04
- - reptile_rex   Session Hijacking   2.02.2013, 17:02:18
- - netmare   Mnie osobiście to nie przekonuje. Moim zdaniem wyk...   2.02.2013, 17:11:17
- - Damonsson   Nie do końca, znaczniej łatwiej wykraść url niż co...   2.02.2013, 23:09:03
- - netmare   Ja nie napisałem że nie jest łatwiej, tylko że jed...   3.02.2013, 22:45:31
|- - pyro   Cytat(netmare @ 3.02.2013, 22:45:31 )...   3.02.2013, 22:56:23
- - netmare   To w jednym się zgadzamy. Ale to z refererem... sł...   4.02.2013, 08:25:46
|- - pyro   Cytat(netmare @ 4.02.2013, 08:25:46 )...   4.02.2013, 09:10:43
- - netmare   Po pierwsze dałem przykład i poprosiłem Cię o wska...   4.02.2013, 09:52:17
|- - netmare   Cytat(pyro @ 4.02.2013, 10:27:09 ) No...   4.02.2013, 10:57:58
|- - pyro   Cytat(netmare @ 4.02.2013, 10:57:58 )...   4.02.2013, 11:12:46
- - pyro   Cytat(netmare @ 4.02.2013, 09:52:17 )...   4.02.2013, 10:27:09
- - netmare   Chodziło mi o prosty przykład strony o charkterze ...   4.02.2013, 11:45:26
- - pyro   Cytat(netmare @ 4.02.2013, 11:45:26 )...   4.02.2013, 12:06:38

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 15.10.2025 - 12:05
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn