[MySQL][PHP]Zabezpieczenie panelu administratora

[MySQL][PHP]Zabezpieczenie panelu administratora, Wystarczająco?

TimeMaster Zobacz profil	26.03.2019, 16:44:49 Post #1
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 8.09.2011 Ostrzeżenie: (0%)	Witam. Tworzę małą portalopodobną stronę, na której jest możliwość rejestracji, dodawania contentu itd. Dla wygody zarządzania zrobiłem panel admina. W bazie użytkownik ma kolumnę 'id_rangi' (ranga admina to 0). Przy logowaniu pobieram do $_session id_rangi i na stronach panelu sprawdzam: [PHP] pobierz, plaintext if ($_SESSION['id_rangi'] !== 0) { header("Location: ../"); } else { .... [PHP] pobierz, plaintext Sesje zabezpieczyłem funkcją: [PHP] pobierz, plaintext function session() { session_start(); if (!isset($_SESSION['init'])) { session_regenerate_id(); $_SESSION['init'] = true; $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; } if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']) { die('Coś jest nie tak!!'); logout(); } } [PHP] pobierz, plaintext Chodzi głównie o to, by dane użytkowników (Imię, Nazwisko, Nr. telefonu, Adres) nie dostały się w niepowołane ręce. Czy poza ustawieniem prawidłowo praw do plików i powyższymi 'zabezpieczeniami' można coś jeszcze zastosować, by ukrócić starania wścibskiego użytkownika z Kali Linux? (IMG:style_emoticons/default/smile.gif) Ten post edytował TimeMaster 26.03.2019, 16:50:18

Odpowiedzi

dublinka Zobacz profil	27.03.2019, 15:51:43 Post #2
Grupa: Zarejestrowani Postów: 594 Pomógł: 66 Dołączył: 22.02.2008 Skąd: Dublin Ostrzeżenie: (0%)	Cytat(TimeMaster @ 27.03.2019, 14:16:13 ) Sprawdzam IP z sesji i ze zmienną SERVER by uniknąć wykradania sesji. Wystarczy na tym forum wejść w narzędzie 'zbadaj element', zakładka DANE (w FF, nie wiem jak w innych) i mamy forum_session_id... Teraz na nieogarniającej nic osobie można za pomocą phishingu wyłudzić id sesji i użyć jej w hijackingu - stąd zabezpieczenie sprawdzające IP zapisane w sesji i IP użytkownika. Teraz pytanie, czy jest to jakiekolwiek zabezpieczenie (dla amatorów najpewniej tak). Nie potrzebuję zabezpieczeń rodem z aplikacji bankowych, wolę być świadomy i w jakimś stopniu przygotowany. Raczej nie spodziewam się, że przechowywane dane będą łakomym kąskiem. Jednak będę spał spokojniej, wiedząc, że hacker zrezygnował z wydobycia danych przez stronę/serwer/bazę i stwierdził, że łatwiej będzie je wyciągnąć bezpośrednio od użytkownika. https://stackoverflow.com/questions/1223340...ssion-hijacking tutaj ma sz mysle wystarczajace wyjasnienie. Jest napisane ze myki z ip nie sa dobrym rozwiazaniem. Po pierwsze IP sa teraz w wiekszosci dynamiczne.

Posty w temacie

TimeMaster [MySQL][PHP]Zabezpieczenie panelu administratora 26.03.2019, 16:44:49

dublinka Nazwy pliku nikt nie pozna wiec.... Podajeesz trz... 26.03.2019, 19:26:04

TimeMaster CytatW pierwszym przykladzie podajesz jedna sesje ... 26.03.2019, 23:14:23

dublinka Cytat(TimeMaster @ 27.03.2019, 00:14... 27.03.2019, 07:37:41

TimeMaster Sprawdzam IP z sesji i ze zmienną SERVER by unikną... 27.03.2019, 13:16:13

dublinka Cytat(TimeMaster @ 27.03.2019, 14:16... 27.03.2019, 15:51:43

viking Zamiast sesji wykorzystaj szyfrowany token JWT, a ... 27.03.2019, 16:23:23

TimeMaster @dublinka Dzięki wielkie @viking Myślałem nad mi... 28.03.2019, 06:17:44

viking To jednego jestem pewien. Stosując się do pewnych ... 28.03.2019, 07:11:10

dublinka Jest jakis spospb na usuniecie poprzednjego id ses... 28.03.2019, 08:21:16

viking session_regenerate_id ([ bool $delete_old_ses... 28.03.2019, 08:23:23

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 15.10.2025 - 06:39

Hosting zapewnia

Forum PHP.pl