 Logowanie |
| Logowanie |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 2 064 Pomógł: 1 Dołączył: 22.01.2003 Skąd: Poznań Ostrzeżenie: (0%) 
 |
Tak zastanawiam się czy takie coś jest wystarczającym zabezpieczeniem:
login.php - pobieranie danych z bazy, sprawdzanie czy zgadzają sie z formularzem, i jeżeli tak to zapisujemy sesje z nazwą usera i jego ID. konto.php - sprawdzanie czy istnieje rekord z takimi danymi, i jeżeli tak to pozwalamy oglądać stronę oraz sprawdzanie czy sesja nie jest starsza niż 7200 sekund. Wymyśliłem sobie zapisywanie w sesji IP uzytkownika i jeżeli sie zmieni to wywalamy go. Czy takie coś jest wystarczająco bezpieczne? Jakie są Wasze propozycje? Bo to wszystko zależy od bezpieczeństwa sesji. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Przyjaciele php.pl Postów: 790 Pomógł: 7 Dołączył: 6.02.2003 Skąd: Polska Ostrzeżenie: (0%)
|
a to jest mój kod sesji ;-)
w bazie: [sql:1:1af65327e7] CREATE TABLE `session` ( `session_id` varchar(50) NOT NULL default '', `endtime` int(11) NOT NULL default '0', `vars` longtext, PRIMARY KEY (`session_id`) ) TYPE=MyISAM;[/sql:1:1af65327e7] [php:1:1af65327e7]<?php class Session { function Session() { global $db; $db->Execute("DELETE FROM `session` WHERE `endtime`<'".time()."'"); $this->sid; } function Start() { global $db; if(!isset($_COOKIE['CMS'])) { $sid = md5(getenv("REMOTE_ADDR").time()); $this->sid = $sid; $time = time() + 3600; $sql = "INSERT INTO `session` VALUES('{$this->sid}','{$time}',NULL,NULL)"; $db->Execute($sql); setcookie("CMS",$this->sid,time()+3600); } else { $this->$sid = $_COOKIE['CMS']; } } function Destroy() { global $db, $_COOKIE; $sid = $_COOKIE['CMS']; setcookie("CMS",1,time()-3600); $db->Execute("DELETE FROM `session` WHERE `session_id`='{$sid}'"); } function SaveVar($varname,$varvalue) { global $db; $result = $db->Execute("SELECT `vars` FROM `session` WHERE `session_id`='{$this->sid}'"); while(!$result->EOF) { $vars = unserialize($result->fields['vars']); } $vars[$varname] = $varvalue; $save = serialize($vars); $db->Execute("UPDATE `session` SET `vars`='{$save}' WHERE `session_id`='{$this->sid}'"); } function GetVar($varname) { global $db; $result = $db->Execute("SELECT `vars` FROM `session` WHERE `session_id`='{$this->sid}'"); while(!$result->EOF) { $vars = unserialize($result->fields['vars']); } return $vars[$varname]; } } ?>[/php:1:1af65327e7] Nie ma mechanizmu usuwania zmiennych, ale stwierdziłem, że jest on niepotrzebny. Kod prosty, uniwersalny (oparty o AdoDB). Inicjalizacja. [php:1:1af65327e7]<?php include("./session.class.php"); $Session = new Session; $Session->Start(); ?>[/php:1:1af65327e7] |
|
|
|
spenalzo Logowanie 17.09.2003, 09:11:59 
Seth Musisz pamietac o tym aby "przefiltrowac" dokladni... 17.09.2003, 09:18:18 spenalzo A jak wygląda sprawa z bezpieczeństwem sesji w php... 17.09.2003, 09:59:45 hwao Ja bym proponował jeszcze:
przed wyslaniem do serv... 25.11.2003, 22:32:35 id4 A co się dzieje Panowie, jak 2 kompy mają takie sa... 26.11.2003, 23:55:36 dzieciol4 ja sie teraz zabralem za wlasny mechanizm sesji al... 27.11.2003, 09:47:03 menic Ja nie jestem gorszy i tez sie o takie cus pokusil... 27.11.2003, 23:55:45 halfik CytatA co się dzieje Panowie, jak 2 kompy mają tak... 29.11.2003, 23:27:54 id4 Głównie chodzi mi o to, że piszecie o własnym syst... 30.11.2003, 15:46:18 Seth CytatGłównie chodzi mi o to, że piszecie o własnym... 30.11.2003, 16:01:38 halfik CytatMoje pytanie brzmiało: Jak można obejść probl... 30.11.2003, 18:03:29 scanner Klient zaproponował poniższą metodę uwierzytelnian... 27.01.2004, 14:41:06 Bora Kiesyś pisałem własną klase obsługująca sesje wyko... 27.01.2004, 15:59:01 Bora Kiesyś pisałem własną klase obsługująca sesje wyko... 27.01.2004, 15:59:25 
seaquest hmmm 27.01.2004, 16:16:48  |
|
Aktualny czas: 3.10.2025 - 15:03 |
