 Sesje, jakie metedy najbezpieczniejsze |
| Sesje, jakie metedy najbezpieczniejsze |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 304 Pomógł: 0 Dołączył: 12.12.2006 Skąd: Pszów Ostrzeżenie: (0%) 
 |
Witam
Stworzyłem prymitywny system logowania opartego na razie tylko o sesje (bez tabel i cookies). Działa ona tak: na początku każdego pliku który wyświetla stronę (np index.php, news.php, artykul.php) mam funkcje session_start() Potem jest logowanie. Ściąga dane z formularza (login i hasło), potem jest zapytanie SQL, jeśli znajdzie takiego usera w bazie to ustawia zmienne sesyjne:
Przy wylogowywaniu jest robione session_destroy() Czy takie coś jest bezpieczne? Chyba nie. Można przecież jakoś ukraść sesje. Jak byście wy napisali sprawniejszy (i co ważniejsze) BEZPIECZNIEJSZY system sesji. Z góry dziękuje na pomoc, naprawdę mi zależy na tym Pozdrawiam. Ten post edytował Avatarus 5.02.2008, 12:33:16 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 304 Pomógł: 0 Dołączył: 12.12.2006 Skąd: Pszów Ostrzeżenie: (0%)
|
no dobra ale wytłumaczcie mi czy te session ID to po prostu taki abstrakt który sami wymyślamy np u mnie Id było by powiedzmy md5(date('U').sha1('salt')
Czy przez session Id rozumie się konkretny ID sesji przydzielane przez serwer? Jeśli to pierwsze to można spokojnie wprowadzić takie coś w php.ini session.use_only_cookies = 1 lub php_value session.use_only_cookies 1 php_value session.use_trans_sid 0 Mam racje? |
|
|
|
Avatarus Sesje, jakie metedy najbezpieczniejsze 5.02.2008, 10:46:37 
nowotny Poszukaj trochę, tu na forum i w google... znajdzi... 5.02.2008, 10:55:13 em1X 1) Domyślnie sesja korzysta z Cookie Zaczynając s... 5.02.2008, 11:03:05 
sopel Cytat(em1X @ 5.02.2008, 11:03:05 ) 2)... 5.02.2008, 11:55:01 Avatarus no to ciągniemy temat dalej. Poczytałem to forum i... 5.02.2008, 13:51:04 sopel CytatKolumna "ilosc blednych logowań" el... 5.02.2008, 19:20:11 nowotny Cytat(sopel @ 5.02.2008, 19:20:11 ) i... 5.02.2008, 20:01:31 Avatarus przeczytałem właśnie PDFa z php.net: http://www.ac... 5.02.2008, 23:29:34 ucho Możesz jeszcze zapamiętywać IP i np UserAgent podc... 6.02.2008, 10:32:45 .chudy. IP może sie zmieniać jeżeli będziesz się łączyć pr... 6.02.2008, 10:46:10 Avatarus no dobra ale mam teraz problem natury logicznej...... 6.02.2008, 11:08:56 sopel CytatNo więc tak po tych lekturach (i kilku i... 6.02.2008, 11:16:19 specialplan Osobiscie dane sesji trzymam w bazie danych i ciag... 6.02.2008, 11:23:29 Avatarus Cytathmm, to gdzie je zamierzasz umieścić?
w tabel... 6.02.2008, 11:29:27 specialplan Musisz miec unikalny ID na podstawie ktorego porow... 6.02.2008, 11:34:38 specialplan To, co podales, sluzy raczej do ograniczenia przek... 6.02.2008, 13:02:05 Avatarus no czyli tak jak napisałem w wyżej będzie to w peł... 6.02.2008, 13:09:11 specialplan Podmiana ID nie bedzie raczej mozliwa, gdy ID sesj... 6.02.2008, 13:13:50 Avatarus no czyli mogę powoli zacząć zabierać się za pisani... 6.02.2008, 13:23:04 bełdzio to może tak btw http://www.beldzio.com/bezpieczens... 7.02.2008, 10:26:06 Avatarus Bełdzio czytam twój blog Fajnie i zwięźle piszesz... 7.02.2008, 10:32:11 specialplan @Beldzio
W zasadzie moja klasa sesji jest zbudowa... 7.02.2008, 10:59:45 bełdzio Cytat(specialplan @ 7.02.2008, 10:59... 8.02.2008, 12:35:03 Jarod @Avatarus: Mam własną klasę (handler) sesji. Wszys... 7.02.2008, 13:31:45 sammael Jak chcecie uniknąć zapisu SIDa w ciastkach i lin... 7.02.2008, 17:53:55 Avatarus no dobra ale jak ktoś ma neo to co? Szlag trafi je... 7.02.2008, 18:44:18 specialplan Niekoniecznie - chyba, ze w czasie trwania sesji r... 8.02.2008, 10:13:11 Avatarus no właśnie sęk w tym że potrzebuje logowanie na dł... 8.02.2008, 11:23:12 specialplan O, faktycznie jest. No to mielismy bardzo podobny ... 8.02.2008, 12:37:09  |
|
Aktualny czas: 4.10.2025 - 03:51 |
