Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP] Bezpieczeństwo sesji, coś poprawić?
chormi
post
Post #1





Grupa: Zarejestrowani
Postów: 26
Pomógł: 0
Dołączył: 28.09.2007

Ostrzeżenie: (10%)
X----

Witam buduję swoją aplikację. Staram się utrudnić życie kombinatorom.

Pseudokod:

[PHP] pobierz, plaintext 
  1.  
  2. 	// ktoś wchodzi na strone.
  3.  
  4. 	stworzenie_sesji()
  5. 	{
  6. 		- generowanie keya sesji
  7. 		- zapis do bazy (userid=0, useragent, ip) // niezalogowany userid 0
  8. 		- zapis id rekordu z tabeli sesji do 'sid' w SESSION
  9. 		- zapis keya w SESSION
  10. 	}
  11.  
  12. 	jako niezalogowany
  13. 	{
  14. 		stworzenie_sesji();
  15. 		nakaz_zalogowania();
  16. 	}
  17.  
  18. 	logowanie()
  19. 	{
  20. 		- zmodyfikowanie keya sesji
  21. 		- zapis keya w SESSION
  22. 	}
  23.  
  24. 	jako zalogowany
  25. 	{
  26. 		pobranie danych z tabeli sesji - rekord o 'sid'
  27.  
  28. 		porównanie:
  29. 		- klucza zapisanego w sesji
  30. 		- adresu ip
  31. 		- useragent
  32. 		z rekordem w tabeli sesji
  33.  
  34. 		jeżeli któreś z powyższych się nie zgadza
  35. 		{
  36. 			niszczenie sesji
  37. 			usuwanie wpisu sesji z tabeli
  38. 			nakaz_zalogowania();
  39. 		}			
  40. 	}
  41.  
[PHP] pobierz, plaintext


W sesji php trzymam tylko:

'sid' czyli id rekordu z tabeli sesji
skey czyli unikalny identyfikator sesji taki sam zapisywany jest w rekordzie sesji

Sessionid trzymane i przekazywane tylko w ciastku.
Zmiana sessionid przez session_regenerate_id.

Rozmyślałem też nad trzymaniem ip,useragent i userid w sesji żeby rzadziej korzystać z tabeli sesji.

Coś poprawić? Jakieś sugestie?

Ten post edytował chormi 23.03.2013, 11:59:16
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
chormi
post
Post #2





Grupa: Zarejestrowani
Postów: 26
Pomógł: 0
Dołączył: 28.09.2007

Ostrzeżenie: (10%)
X----

Załóżmy, że obaj userzy mają najnowszego ff i autoupdate. Wtedy rzeczywiśćie identyfikacja przez UA leży.

Nic się nie dowiedziałem.

Odświeżam.

// edit.

Jesteście zajebiście pomocni. Nic się nie dowiedziałem. Nie mam pojęcia po co w ogóle ten dział istnieje.

Ten post edytował chormi 23.03.2013, 12:23:31
Go to the top of the page
+Quote Post
!*!
post
Post #3





Grupa: Zarejestrowani
Postów: 4 298
Pomógł: 447
Dołączył: 16.11.2006

Ostrzeżenie: (0%)
-----

Cytat(chormi @ 23.03.2013, 10:24:47 ) *
Jesteście zajebiście pomocni. Nic się nie dowiedziałem. Nie mam pojęcia po co w ogóle ten dział istnieje.


Trudno, aby w mechanizmie sesji tworzyć coś nowego, jakbyś poświęcił 5 sekund na użycie wyszukiwarki, zobaczyłbyś "kilka" postów z tym związanych, w których, wypowiedzi użytkowników forum wyczerpały temat.
A w Twoim kodzie, nie zauważyłem "czasu".

Ten post edytował !*! 23.03.2013, 12:30:53
Go to the top of the page
+Quote Post

Posty w temacie
- chormi   [PHP] Bezpieczeństwo sesji   22.03.2013, 23:50:29
- - StrefaPi   UserAgent nie jest żadnym zabezpieczeniem... Jak d...   22.03.2013, 23:56:26
|- - chormi   Cytat(StrefaPi @ 22.03.2013, 23:56:26...   22.03.2013, 23:59:17
- - Damonsson   Oczywiście, że jest.   23.03.2013, 00:00:03
- - StrefaPi   Tylko po co?   23.03.2013, 00:01:05
- - Damonsson   Jest kolejnym elementem układanki, którą trzeba uł...   23.03.2013, 00:07:54
- - StrefaPi   Akurat to ten najłatwiejszy element, który moim zd...   23.03.2013, 00:11:05
- - chormi   Załóżmy, że obaj userzy mają najnowszego ff i auto...   23.03.2013, 10:24:47
|- - !*!   Cytat(chormi @ 23.03.2013, 10:24:47 )...   23.03.2013, 12:30:03
|- - Fifi209   Cytat(chormi @ 23.03.2013, 11:24:47 )...   23.03.2013, 12:55:37
- - StrefaPi   może jeszcze sprawdźmy jaką mają rozdzielczość ekr...   23.03.2013, 13:21:51
|- - markonix   Cytat(StrefaPi @ 23.03.2013, 13:21:51...   23.03.2013, 19:42:11
|- - Fifi209   Cytat(markonix @ 23.03.2013, 20:42:11...   23.03.2013, 19:50:35
|- - markonix   Cytat(Fifi209 @ 23.03.2013, 19:50:35 ...   23.03.2013, 19:57:29
- - chormi   Ok. co ile regenerować id sesji po określonej licz...   23.03.2013, 19:33:55
|- - !*!   Cytat(chormi @ 23.03.2013, 19:33:55 )...   24.03.2013, 10:49:16
- - Fifi209   No to albo masz dodatkowo rozdzielczość albo nie m...   23.03.2013, 20:01:44
- - markonix   Ja i 2 miliony użytkowników firefox. btw. i co? p...   23.03.2013, 20:06:01
|- - pyro   Cytat(markonix @ 23.03.2013, 20:06:01...   24.03.2013, 11:02:38
- - StrefaPi   ojej lol - o rozdzielczości napisałem to w ramach ...   23.03.2013, 20:41:00
- - markonix   Ja uważam, że to świetna wtyczka ponieważ blokuje ...   24.03.2013, 11:41:53
- - StrefaPi   Cytat(markonix @ 24.03.2013, 11:41:53...   24.03.2013, 12:16:44

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 5.10.2025 - 08:41
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn