[PHP]gdzie wkleić te kody? Opcje

[sweter]

Mam pytanie odnośnie tego artykułu: http://wortal.php.pl/wortal/artykuly/bezpi...ession_fixation

Czy kody podane należy wkleić na każdą stronę swojego serwisu?
Bo mi się wydaje, że tak, ale wolę się spytać doświadczonych php-owców

A może lepiej wkleić taki kod na każdej stronie?

Kod

<?php
session_start();        
if (!isset($_SESSION['sprawdz'])){
    session_regenerate_id();
    $_SESSION['sprawdz'] = true;
}
?>

Ten post edytował sweter 25.01.2009, 13:34:07

[MateuszS]

Ja robię tak: Na stronie logowania (to tylko przykład!!!!!!!):

[PHP] pobierz, plaintext 
<?php
session_start();
ob_start();
 
$_SESSION['login'] = $_POST['login'];
$_SESSION['haslo'] = $_POST['haslo'];
 
$login = 'MateuszS';
$haslo = '12345';
 
if ($_SESSION['login'] == $login and $_SESSION['haslo'] == $haslo)
{
    session_register('adminlog');
    $_SESSION['adminlog'] = 1;
    header("Location: stronaadmina.php");
}
?>
[PHP] pobierz, plaintext 

strona admina:

[PHP] pobierz, plaintext 
<?php
session_start();
ob_start();
 
if ($_SESSION['adminlog'] != 1)
{
    header("Location: logowanie.php");
}
?>
[PHP] pobierz, plaintext 

[sweter]

Czyli skrypty z tego linka przeciwdziałające atakowi Session Fixation są potrzebne jedynie na stronach administracyjnych

[MateuszS]

Codzi o to ze jezeli masz konto/dane na serwerze ktore ty znasz i masz do nich dostep moga Ci je wykrasc, np hasla, dane po zalogowaniu,