Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Zabezpieczenie sesji przed wejściem osób nieporządanych
Mostrom
post
Post #1





Grupa: Zarejestrowani
Postów: 83
Pomógł: 3
Dołączył: 17.04.2007

Ostrzeżenie: (0%)
-----

Witam! Mam pytanie dotyczące zabezpieczenia przed ujawnieniem osobom zarejestrowanym na stronie niektórych treści, do których dostęp ma tylko admin. Jaka metoda jest bezpieczna?
W tej chwili zrobiłem to tak, że wszystkim użytkownikom, których login to "admin", pokazywane są opcje, których nie mogą ujrzeć 'uczniowie'. Jest to kwestia ingerencji w oceny, a więc bardzo ważna. Czy jest to bezpieczne?
Co proponujecie? Na ten temat nie mam zielonego pojęcia, bo nigdy nie postawiłem żadnej aktywnej strony na serwerze.
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Walian
post
Post #2





Grupa: Zarejestrowani
Postów: 124
Pomógł: 1
Dołączył: 13.07.2009

Ostrzeżenie: (0%)
-----

Najlepiej napisać sobie klasę obsługującą sesje. Będzie jeszcze lepiej, jeśli sesje będą oparte o bazę danych i będą takie zabezpieczenia jak:
- przysłanie ciastka tylko przez protokół HTTP
- stosowanie mysql_real_escape_string()
- regenerowanie id sesji przy każdym nowym żądaniu
- można zastosować sprawdzanie adresu IP - ale to czasami okazuje się być utrudnieniem
- można zastosować sprawdzanie USER_AGENT
- można udawać, że korzysta się z PHP-owego systemu sesji
- ograniczenie czasu "życia" sesji

Ja tam nie lubię korzystać z gotowych bibliotek - wolę napisać własną klasę, przynajmniej wiem co i jak. Jak zauważę buga to wiem gdzie szukać i jak poprawić (IMG:style_emoticons/default/smile.gif) 

[PHP] pobierz, plaintext 
  1. $_SESSION["zalogowany"]=1;
[PHP] pobierz, plaintext

To nie jest Ci potrzebne. Sprawdzaj po prostu czy jest ustawione:
[PHP] pobierz, plaintext 
  1. if (isset($_SESSION['session_id']))
[PHP] pobierz, plaintext

które zresztą może Ci się przydać.
Go to the top of the page
+Quote Post

Posty w temacie
- Mostrom   Zabezpieczenie sesji przed wejściem osób nieporządanych   16.10.2010, 17:02:00
- - erix   Temat: Bezpieczenstwo skryptow PHP   16.10.2010, 17:08:24
- - kiler129   Cytat(Mostrom @ 16.10.2010, 18:02:00 ...   17.10.2010, 04:41:38
- - Mostrom   I żaden haxor nie może zmienić grupy do której nal...   17.10.2010, 18:31:59
- - kiler129   Generalnie dobry ale poczytaj o PDO i SQL Injectio...   17.10.2010, 22:11:11
- - Walian   Najlepiej napisać sobie klasę obsługującą sesje. B...   18.10.2010, 13:41:42
- - Mostrom   Witam, wziałem sobie do serca to co powiedzieliści...   19.10.2010, 18:01:07
- - Ramzaa   A spróbuj bez addslashes   19.10.2010, 18:27:34
- - Mostrom   Tak czy siak nie wchodzi. addslashes słyszałem, że...   21.10.2010, 18:42:40
- - maniana   Wg mnie najlepiej nie korzystać z sesji php tylko ...   22.10.2010, 00:16:10

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 3.10.2025 - 09:24
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn