Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Logowanie
spenalzo
post
Post #1





Grupa: Zarejestrowani
Postów: 2 064
Pomógł: 1
Dołączył: 22.01.2003
Skąd: Poznań

Ostrzeżenie: (0%)
-----

Tak zastanawiam się czy takie coś jest wystarczającym zabezpieczeniem:

login.php - pobieranie danych z bazy, sprawdzanie czy zgadzają sie z formularzem, i jeżeli tak to zapisujemy sesje z nazwą usera i jego ID.

konto.php - sprawdzanie czy istnieje rekord z takimi danymi, i jeżeli tak to pozwalamy oglądać stronę oraz sprawdzanie czy sesja nie jest starsza niż 7200 sekund.

Wymyśliłem sobie zapisywanie w sesji IP uzytkownika i jeżeli sie zmieni to wywalamy go.

Czy takie coś jest wystarczająco bezpieczne? Jakie są Wasze propozycje?
Bo to wszystko zależy od bezpieczeństwa sesji.
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Seth
post
Post #2





Grupa: Przyjaciele php.pl
Postów: 2 335
Pomógł: 6
Dołączył: 7.03.2002

Ostrzeżenie: (0%)
-----

Musisz pamietac o tym aby "przefiltrowac" dokladnie to co dostajemy od usera. Nie mozesz tworzyc zapytania bezposrednio odwolujac sie do tablicy. ( SELECT ... WHERE login='$_POST[... ) W takim przypadku mozna zastosowac SQL injection.

Dobrze bylo by pomyslec o wlasnym systemie sesji. Wraz z tworzeniem jej min z IP (zamaksowanego) usera.

Co do reszty to w konto.php wystarczylo by sprawdzanie czy istnieje jakas zmienna sesyjna i czy IP z ID sesji (w przypadku tworzenia naszego mechaznimu sesji) zgadza sie z IP usera.
Go to the top of the page
+Quote Post

Posty w temacie
- spenalzo   Logowanie   17.09.2003, 09:11:59
- - Seth   Musisz pamietac o tym aby "przefiltrowac" dokladni...   17.09.2003, 09:18:18
- - spenalzo   A jak wygląda sprawa z bezpieczeństwem sesji w php...   17.09.2003, 09:59:45
- - hwao   Ja bym proponował jeszcze: przed wyslaniem do serv...   25.11.2003, 22:32:35
- - id4   A co się dzieje Panowie, jak 2 kompy mają takie sa...   26.11.2003, 23:55:36
- - dzieciol4   ja sie teraz zabralem za wlasny mechanizm sesji al...   27.11.2003, 09:47:03
- - menic   Ja nie jestem gorszy i tez sie o takie cus pokusil...   27.11.2003, 23:55:45
- - halfik   CytatA co się dzieje Panowie, jak 2 kompy mają tak...   29.11.2003, 23:27:54
- - id4   Głównie chodzi mi o to, że piszecie o własnym syst...   30.11.2003, 15:46:18
- - Seth   CytatGłównie chodzi mi o to, że piszecie o własnym...   30.11.2003, 16:01:38
- - halfik   CytatMoje pytanie brzmiało: Jak można obejść probl...   30.11.2003, 18:03:29
- - scanner   Klient zaproponował poniższą metodę uwierzytelnian...   27.01.2004, 14:41:06
- - seaquest   moja sesja   27.01.2004, 15:00:40
- - Bora   Kiesyś pisałem własną klase obsługująca sesje wyko...   27.01.2004, 15:59:01
- - Bora   Kiesyś pisałem własną klase obsługująca sesje wyko...   27.01.2004, 15:59:25
- - seaquest   hmmm   27.01.2004, 16:16:48

« Następny starszy · Archiwum Pro · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 2.10.2025 - 18:02
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn