 [PHP] bezpieczenstwo komunikacji z baza |
| [PHP] bezpieczenstwo komunikacji z baza |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 17 Pomógł: 1 Dołączył: 6.04.2011 Ostrzeżenie: (0%) 
 |
witam wszystkich!
mam strone gdzie mozna dodawac artykuly (index.php) i strone moderacji (edycja, usuwanie - admin.php). do komunikacji z baza mam plik baza.php i tam sa funkcje add, edit, delete. wejscie do admina jest oczywiscie zabezpieczone prawami dostepu zrobionymi na sesjach i teraz mam pytanie. czy takie zabezpieczenie wystarczy? plik baza.php tez powinienem zabezpieczyc sesja? tylko czy sesja wystarczy? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 314 Pomógł: 44 Dołączył: 12.11.2010 Skąd: UK Ostrzeżenie: (0%)
|
Więc tak , po 1 : apropo "bredzenia" twój link z google odnosi się do hasła "php session vuln" (miałeś na myśli wulkan chyba.. albo vulnerability , osobiście obstawiam wulkan)
po 2 : Tak tylko jakbyś czytał dokładniej manual'a od code ignitera którego zręcznie dorzuciłeś do tematu (nawet nie musiałbyś dokładnie czytać bo jest w divie na całą szerokość strony z czerwonym tłem) Cytat The Session class does not utilize native PHP sessions. It generates its own session data, offering more flexibility for developers. Tak , flexibility a nie safety.Kontynuując o linku z google , mimo swojej niepoprawności dał trochę info o temacie np. Wikipedia - Session poisoning Jak można przeczytać są tam opisane dwie metody "złamania" sesji , pierwsza opisuję "durne", bo nie można tego inaczej nazwać przekazywanie danych do GET. Ostatnia zaś opisuję sytuację na serwerze typu "shared" którą już poruszyliśmy wcześniej. I myślę że została całkiem prosto rozwiązana funkcją session_save_path , a i tak myślę że własny handler sesji jest Zbędny , nie lepiej by było najprościej w świecie zabezpieczyć istniejącą sesję?Nie bo po co , po co rozwijać istniejący mechanizm w tym niema żadnego sensu ! Lepiej tworzyć od nowa mechanizm który będzie miał więcej bugów niż linijek. (IMG:style_emoticons/default/thumbsdownsmileyanim.gif) , wiesz co .. najlepiej porzuć PHP , po co ci taki język w którym luk bezpieczeństwa przestrzeni lat było całkiem sporo. napisz własny język mhmm może nazwij go "MojeEgoJestTakWielkieZeNieZauwazamWlasnychBledow" w skrócie "MEJTWZNZWB" chwytliwa nazwa. Ten post edytował nekomata 8.04.2011, 02:05:24 |
|
|
|
szymonstawi [PHP] bezpieczenstwo komunikacji z baza 6.04.2011, 15:44:35 
desperat666 mowisz ze baza.php zawiera funkcje, wiec co da wyk... 6.04.2011, 20:28:08 szymonstawi ok, dzieki, a samo zabezpieczenie na podstawie ses... 6.04.2011, 20:34:32 wNogachSpisz Sesje bazujące na mechanizmach php mająj uroczą sk... 6.04.2011, 20:36:23 szymonstawi wiec jak najlepiej zrobic sesje?
a poza tym to if... 6.04.2011, 21:50:15 fifi209 session handler 6.04.2011, 21:54:33 szymonstawi dzieki, ale strasznie malo materialow o tym. poza ... 6.04.2011, 22:20:51 wNogachSpisz Sesje działają źle (czyt. niebezpiecznie), poniewa... 6.04.2011, 23:15:08 
fifi209 Cytat(wNogachSpisz @ 7.04.2011, 00:15... 6.04.2011, 23:33:13 wNogachSpisz Fajne, tylko jak tego użyć gdy pracujesz wyłącznie... 6.04.2011, 23:35:49 szymonstawi http://php.pl/Wortal/Artykuly/PHP/Architek...I/Imp... 7.04.2011, 00:09:57 bugmenot A nie można tego zrobić przez .htaccess i .htpassw... 7.04.2011, 09:22:43 szymonstawi czyli jak? 7.04.2011, 10:10:18 bugmenot Cytat(szymonstawi @ 7.04.2011, 11:10... 8.04.2011, 21:13:04 nekomata Cytat(fifi209 @ 6.04.2011, 23:33:13 )... 7.04.2011, 19:27:40 wNogachSpisz Cytat(nekomata @ 7.04.2011, 20:27:40 ... 7.04.2011, 19:40:18 nekomata Ja mam namyśli , że właśnie z folderem sessions , ... 7.04.2011, 19:45:08 wNogachSpisz Cytat(nekomata @ 7.04.2011, 20:45:08 ... 7.04.2011, 19:54:55 nekomata Tylko ... jeśli jakaś funkcja która jest zaimpleme... 7.04.2011, 20:39:37 fifi209 wNogachSpisz skoro tak bardzo polecasz pisanie wła... 7.04.2011, 20:52:26 potreb Jestem za, a zresztą po co własny mechanizm sesji ... 7.04.2011, 20:56:21 wNogachSpisz Cytat(nekomata @ 7.04.2011, 21:39:37 ... 7.04.2011, 21:41:17 nekomata Zdania powinno czytać się w całej ich okazałości a... 7.04.2011, 21:45:22 wNogachSpisz Cytat(nekomata @ 7.04.2011, 22:45:22 ... 7.04.2011, 22:04:58 fifi209 Cytat(wNogachSpisz @ 7.04.2011, 23:04... 7.04.2011, 22:24:54 nekomata Jeśli mógłbyś podać kilka przykładów "niepopr... 7.04.2011, 22:08:32 wNogachSpisz Cytat(nekomata @ 7.04.2011, 23:08:32 ... 7.04.2011, 22:11:53 nekomata Dobra skończmy to gadanie po próżnicy , nie wykazu... 7.04.2011, 22:23:22 wNogachSpisz Cytat(nekomata @ 7.04.2011, 23:23:22 ... 7.04.2011, 22:47:12 fifi209 Cytat(wNogachSpisz @ 7.04.2011, 23:47... 7.04.2011, 23:00:41 szymonstawi Cytat(wNogachSpisz @ 7.04.2011, 23:47... 8.04.2011, 00:51:11 nekomata Cytat(wNogachSpisz @ 7.04.2011, 22:47... 7.04.2011, 23:01:04 wNogachSpisz Odpowiedzi na wszystkie te pytania udzieliłem wcze... 7.04.2011, 23:08:43 fifi209 Cytat(wNogachSpisz @ 8.04.2011, 00:08... 7.04.2011, 23:15:47 nekomata Nie udzieliłeś żadnych odpowiedzi , naprawdę może ... 7.04.2011, 23:11:42 wNogachSpisz troszkę linków do smaku:
http://www.google.pl/sea... 7.04.2011, 23:12:54 wNogachSpisz wyżej są linki 7.04.2011, 23:24:06 nekomata Pierwszy jest google , niezbytnio precyzuję to two... 7.04.2011, 23:30:58 wNogachSpisz Cytat(nekomata @ 8.04.2011, 00:30:58 ... 8.04.2011, 00:54:21 nekomata Przecież jak tak zrobisz to żaden użytkownik nie b... 8.04.2011, 22:37:38 bugmenot Z tego, co się orientuję, to wystarczy wrzucić .ht... 9.04.2011, 14:09:59 Gość moglby ktos napisac jak wykorzystac to session han... 11.04.2011, 11:45:05  |
|
Aktualny czas: 9.10.2025 - 06:32 |
