 [PHP]sesie a bezpieczeństwo |
| [PHP]sesie a bezpieczeństwo |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 1 447 Pomógł: 191 Dołączył: 26.03.2008 Ostrzeżenie: (0%) 
 |
czy hacking przez użycie dziur w sesjach jest możliwy?? czy trzeba te sesje jakoś zabezpieczać??
pytan bo twoże swojego niby-cmsa, no i wiele info trzymam w sesjach, niechciałbym by ktoś sam sobie usawiał sesie -------------------- :)
|
 |
 
|
 |
|
Post
#2
|
|
 Grupa: Moderatorzy Postów: 8 989 Pomógł: 1550 Dołączył: 8.08.2008 Skąd: Słupsk/Gdańsk |
Nikt nie może zmienić zawartości sesji ani samodzielnie jej zmieniać. Moze jedynie komus wykraść sesje wykradając jego id. Dlatego warto odnawiac id sesji do odswiezenie strony.
-------------------- |
|
|
|
|
Post
#3
|
|
 Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%)
|
Istnieje kilka radzajów ataków. Session Injection, Session Fixation, wspomniane przez wookie skradzenie identyfikatora i wiele innych.
Warto: 1) Używać session_regenerate_id" title="Zobacz w manualu PHP" target="_manual, bądź (jeżeli posidasz własny mechanizm sesji) odpowiednik tej funkcji + identyfikacja po IP + ew. identyfikacja po nazwie przeglądarki 2) Żeby Ci do głowy nie przyszło zrobienie czegoś takiego Bo to gotowy przepis na katastrofę  3) Upewnić się czy inni użytkownicy serwera (jeśli takowi istnieją) mają dostęp do Twoich sesji 4) I wiele, wiele innych 5) Użyć wyszukiwarki/Google bo było sporo na ten temat |
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 1 447 Pomógł: 191 Dołączył: 26.03.2008 Ostrzeżenie: (0%)
|
no ja mam w ten sposób
np logowanie i jeżeli ktoś sie poprawnie zaloguje to $_session[zalogowany] = nick z bazy $_session[user_rank]= ranga z bazy -------------------- :)
|
|
|
|
 |
|
Aktualny czas: 21.08.2025 - 14:50 |
