 password_hash w $_SESSION, security |
| password_hash w $_SESSION, security |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 460 Pomógł: 49 Dołączył: 5.06.2011 Ostrzeżenie: (0%) 
 |
Chodzi mi o przybliżenie tematu security w przypadku danych przechowywanych w $_SESSION.
Otóż spotkałem się z teorią, że warto dokonywać uwierzytelnienia użytkownika (authentication) przy każdym wchodzeniu na każdą podstronę serwisu internetowego. Wtedy niebezpieczeństwo włamania się przez osoby 3-cie maleje. Rozumiem to tak, że przechowujemy w sesji login i password_hash użytkownika i za każdy wejściem na podstronę go uwierzytelniamy, czyli weryfikujemy password_hash z bazą danych. I moje pytanie, czy przechowywanie password_hash w $_SESSION nie jest niebezpieczne? Czytałem, że przechowywanie plain text password, czyli normalnie hasła, w $_SESSION jest zdecydowanie niebezpieczne. Ale czy password_hash nie jest przypadkiem równie wystarczającą daną do wejścia na czyjeś konto i co za tym idzie - wymagającą unicestwienia zaraz po wykorzystaniu? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 965 Pomógł: 285 Dołączył: 19.06.2015 Skąd: Warszawa Ostrzeżenie: (0%)
|
Sesja jest trzymana na serwerze, więc to co w niej trzymasz tak naprawdę jest niewidoczne dla usera.
|
|
|
|
trzczy password_hash w $_SESSION 7.02.2016, 12:42:48 
Damonsson A w jaki sposób to Cię niby bardziej zabezpiecza? ... 7.02.2016, 13:02:00 viking Na moje oko to raczej chodziło o regenerację id se... 7.02.2016, 13:03:29 
trzczy Właśnie też mi coś w tym nie grało. Wziąłem to z j... 7.02.2016, 14:12:17  |
|
Aktualny czas: 29.12.2025 - 22:02 |
