 Sesje, jakie metedy najbezpieczniejsze |
| Sesje, jakie metedy najbezpieczniejsze |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 304 Pomógł: 0 Dołączył: 12.12.2006 Skąd: Pszów Ostrzeżenie: (0%) 
 |
Witam
Stworzyłem prymitywny system logowania opartego na razie tylko o sesje (bez tabel i cookies). Działa ona tak: na początku każdego pliku który wyświetla stronę (np index.php, news.php, artykul.php) mam funkcje session_start() Potem jest logowanie. Ściąga dane z formularza (login i hasło), potem jest zapytanie SQL, jeśli znajdzie takiego usera w bazie to ustawia zmienne sesyjne:
Przy wylogowywaniu jest robione session_destroy() Czy takie coś jest bezpieczne? Chyba nie. Można przecież jakoś ukraść sesje. Jak byście wy napisali sprawniejszy (i co ważniejsze) BEZPIECZNIEJSZY system sesji. Z góry dziękuje na pomoc, naprawdę mi zależy na tym Pozdrawiam. Ten post edytował Avatarus 5.02.2008, 12:33:16 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 304 Pomógł: 0 Dołączył: 12.12.2006 Skąd: Pszów Ostrzeżenie: (0%)
|
Cytat hmm, to gdzie je zamierzasz umieścić? w tabeli nie wiem czy dobrze rozumie z tymi ID sesji bo teraz nie ma to trochę sensu... (pewnie jak zwykle coś pomieszałem) po co session ID? no prześledźmy mój tok myślenia... jeśli nie ma cookies to twórz nową sesje sprawdza logowanie , loguje zapisuje dane do tabeli sesji i cookie... no i teraz jest cookie i sprawdza czy specjalnie spreparowane dane z cookie pasują do tabeli sesyjnej. sprawdza też czy to ta sama osoba sprawdzając user_agenta itp...jeśli tak to tworzy nową sesje i tyle. Coś błędnego w moim toku rozumowania? może inaczej co jest błędne? (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) |
|
|
|
Avatarus Sesje, jakie metedy najbezpieczniejsze 5.02.2008, 10:46:37 
nowotny Poszukaj trochę, tu na forum i w google... znajdzi... 5.02.2008, 10:55:13 em1X 1) Domyślnie sesja korzysta z Cookie Zaczynając s... 5.02.2008, 11:03:05 
sopel Cytat(em1X @ 5.02.2008, 11:03:05 ) 2)... 5.02.2008, 11:55:01 Avatarus no to ciągniemy temat dalej. Poczytałem to forum i... 5.02.2008, 13:51:04 sopel CytatKolumna "ilosc blednych logowań" el... 5.02.2008, 19:20:11 nowotny Cytat(sopel @ 5.02.2008, 19:20:11 ) i... 5.02.2008, 20:01:31 Avatarus przeczytałem właśnie PDFa z php.net: http://www.ac... 5.02.2008, 23:29:34 ucho Możesz jeszcze zapamiętywać IP i np UserAgent podc... 6.02.2008, 10:32:45 .chudy. IP może sie zmieniać jeżeli będziesz się łączyć pr... 6.02.2008, 10:46:10 Avatarus no dobra ale mam teraz problem natury logicznej...... 6.02.2008, 11:08:56 sopel CytatNo więc tak po tych lekturach (i kilku i... 6.02.2008, 11:16:19 specialplan Osobiscie dane sesji trzymam w bazie danych i ciag... 6.02.2008, 11:23:29 specialplan Musisz miec unikalny ID na podstawie ktorego porow... 6.02.2008, 11:34:38 Avatarus no dobra ale wytłumaczcie mi czy te session ID to ... 6.02.2008, 12:52:36 specialplan To, co podales, sluzy raczej do ograniczenia przek... 6.02.2008, 13:02:05 Avatarus no czyli tak jak napisałem w wyżej będzie to w peł... 6.02.2008, 13:09:11 specialplan Podmiana ID nie bedzie raczej mozliwa, gdy ID sesj... 6.02.2008, 13:13:50 Avatarus no czyli mogę powoli zacząć zabierać się za pisani... 6.02.2008, 13:23:04 bełdzio to może tak btw http://www.beldzio.com/bezpieczens... 7.02.2008, 10:26:06 Avatarus Bełdzio czytam twój blog Fajnie i zwięźle piszesz... 7.02.2008, 10:32:11 specialplan @Beldzio
W zasadzie moja klasa sesji jest zbudowa... 7.02.2008, 10:59:45 bełdzio Cytat(specialplan @ 7.02.2008, 10:59... 8.02.2008, 12:35:03 Jarod @Avatarus: Mam własną klasę (handler) sesji. Wszys... 7.02.2008, 13:31:45 sammael Jak chcecie uniknąć zapisu SIDa w ciastkach i lin... 7.02.2008, 17:53:55 Avatarus no dobra ale jak ktoś ma neo to co? Szlag trafi je... 7.02.2008, 18:44:18 specialplan Niekoniecznie - chyba, ze w czasie trwania sesji r... 8.02.2008, 10:13:11 Avatarus no właśnie sęk w tym że potrzebuje logowanie na dł... 8.02.2008, 11:23:12 specialplan O, faktycznie jest. No to mielismy bardzo podobny ... 8.02.2008, 12:37:09  |
|
Aktualny czas: 4.10.2025 - 19:36 |
