Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Sesje, i session.use_only_cookies
Mrozie
post
Post #1





Grupa: Zarejestrowani
Postów: 22
Pomógł: 0
Dołączył: 6.11.2007

Ostrzeżenie: (0%)
-----


Zrezygnowałem z pisania własnego session_handlera (co okazało się ponad moje umiejętności) i postanowiłem napisać system autoryzacji na zwykłych sesjach, oczywiście odpowiednio zabezpieczony.

Na blogu Bełdzia  wyczytałem, że dobrą praktyką jest wyłączenie możliwości przesyłania SID-a w $_GET i dopisania do .htaccess (bo do php.ini nie mam dostępu) nastepujących linii:

Kod
php_value session.use_only_cookies 1 
php_value session.use_trans_sid 0


Rozumiem, że dzięki temu jedynym sposobem na przesłanie SID-a będzie zmienna $_COOKIE, ale co jeśli użytkownik ma wyłączoną obsługę ciastek... ? Czy nie dojdzie w ten sposób do sytuacji, że user z wyłączonymi ciastkami będzie po każdym kliknięciu wylogowywany?

Z góry dzięki za odpowiedzi (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował Mrozie 11.08.2008, 15:51:21
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
Shili
post
Post #2





Grupa: Zarejestrowani
Postów: 1 085
Pomógł: 231
Dołączył: 12.05.2008

Ostrzeżenie: (0%)
-----


Cytat
Sęk w tym, że na dobrą sprawą, co by nie wrzucić do ciastek to po przejęciu właściwie otwierają się wszystkie furtki
Dlatego ktoś kiedyś wymyślił sprawdzanie ip, przeglądarki oraz paru innych ciekawych rzeczy (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) W końcu tego w ciastku nie ustawiasz tylko na przykład zapisujesz w bazie danych, przepisujesz do sesji itd.

Cytat
Z drugiej strony tak sobie myślę, że może lepiej uszczelnić system przed atakami typu XSS czy SQL Injection zamiast paranoicznie bać się o wykradzenie ciasteczka? Czytałem kilka tutków na ten temat, filtruje dane przy pomocy strip_tags, addslashes czy mysql_real_escape_string, ale czy to wystarczy?
Myślę, że lepiej pomyśleć o jednym i drugim.
addslashes nie polecam, już bardziej mysql_real_escape_string, które faktycznie przygotuje praktycznie każdy ciąg znaków do wstawienia do bazy danych. strip_tags jak najbardziej załatwia sprawę.
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 11.10.2025 - 00:15