Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> zalogowany użytkownik na sesji
humman
post
Post #1





Grupa: Zarejestrowani
Postów: 43
Pomógł: 0
Dołączył: 13.02.2008

Ostrzeżenie: (0%)
-----

Witam
Czy to dobre rozwiązanie?
1. Użytkownik loguje się do strony - sprawdzany jest login i hasło użytkownika jeśli się zgadza z tym zapisanym w bazie rejestrowana jest sesja z loginem użytkownika i informacja ze się zalogował i ze ma range user. (3 sesje)
2. Na każdej stornie do której dostęp mają tylko użytkownicy sprawdzane jest czy istnieje sesja użytkownik i czy sesja nie wygasła.
3. Dla określonych funkcji użytkownika jest warunek if jest sesja uzytkownik i if ranga użytkownika user to wyświetl mu takie funkcje.
4. Gdy się użytkownik wylogowuje kasowana jest sesja.

Pytanka:
-czy jest lepsze rozwiązanie? Jeśli tak to jakie.
- czy sesje są bezpieczne?
- czy da się jakoś zabezpieczyć sesje?

pozdrawiam
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
vokiel
post
Post #2





Grupa: Zarejestrowani
Postów: 2 592
Pomógł: 445
Dołączył: 12.03.2007

Ostrzeżenie: (0%)
-----

Cytat
(3 sesje)

1 sesja - 3 zmienne sesyjne (IMG:style_emoticons/default/winksmiley.jpg)

Generalnie tak to właśnie działa. Pomijam zaawansowane mechanizmy uprawnień oparte na rolach, grupach etc. Tak czy inaczej sprowadza się to właśnie do sprawdzenia czy użytkownik jest zalogowany i czy ma prawa do przeglądania danych zasobów.

Sesje są bezpieczne jeśli się je zabezpieczy. Dobrym rozwiązaniem jest stworzenie własnego sterownika (session_set_save_handler), który będzie oparty na bazie danych.

Tak, można zabezpieczyć sesje przeciw atakom na sesje (np.: session fixation, session hijack, session sidejacking, session poisoning).
Go to the top of the page
+Quote Post
humman
post
Post #3





Grupa: Zarejestrowani
Postów: 43
Pomógł: 0
Dołączył: 13.02.2008

Ostrzeżenie: (0%)
-----

Cytat(vokiel @ 14.12.2009, 13:07:03 ) *
1 sesja - 3 zmienne sesyjne (IMG:style_emoticons/default/winksmiley.jpg)

Generalnie tak to właśnie działa. Pomijam zaawansowane mechanizmy uprawnień oparte na rolach, grupach etc. Tak czy inaczej sprowadza się to właśnie do sprawdzenia czy użytkownik jest zalogowany i czy ma prawa do przeglądania danych zasobów.

Sesje są bezpieczne jeśli się je zabezpieczy. Dobrym rozwiązaniem jest stworzenie własnego sterownika (session_set_save_handler), który będzie oparty na bazie danych.

Tak, można zabezpieczyć sesje przeciw atakom na sesje (np.: session fixation, session hijack, session sidejacking, session poisoning).



A czy sesje są niebezpieczne tylko wtedy gdy zapisywane są w cookies lub widoczne w adresie strony?
Go to the top of the page
+Quote Post

Posty w temacie
- humman   zalogowany użytkownik na sesji   14.12.2009, 12:27:09
- - vokiel   Cytat(3 sesje) 1 sesja - 3 zmienne sesyjne Gener...   14.12.2009, 13:07:03
|- - humman   Cytat(vokiel @ 14.12.2009, 13:07:03 )...   14.12.2009, 13:49:50
|- - Kruq   Cytat(humman @ 14.12.2009, 15:49:50 )...   15.12.2009, 15:03:24
- - vokiel   W pasku może być przesyłany identyfikator sesji (S...   15.12.2009, 15:05:19

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 25.12.2025 - 00:21
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn