 zalogowany użytkownik na sesji |
  |
| zalogowany użytkownik na sesji |
 14.12.2009, 12:27:09
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 43 Pomógł: 0 Dołączył: 13.02.2008 Ostrzeżenie: (0%) 
 |
Witam
Czy to dobre rozwiązanie? 1. Użytkownik loguje się do strony - sprawdzany jest login i hasło użytkownika jeśli się zgadza z tym zapisanym w bazie rejestrowana jest sesja z loginem użytkownika i informacja ze się zalogował i ze ma range user. (3 sesje) 2. Na każdej stornie do której dostęp mają tylko użytkownicy sprawdzane jest czy istnieje sesja użytkownik i czy sesja nie wygasła. 3. Dla określonych funkcji użytkownika jest warunek if jest sesja uzytkownik i if ranga użytkownika user to wyświetl mu takie funkcje. 4. Gdy się użytkownik wylogowuje kasowana jest sesja. Pytanka: -czy jest lepsze rozwiązanie? Jeśli tak to jakie. - czy sesje są bezpieczne? - czy da się jakoś zabezpieczyć sesje? pozdrawiam |
 |
 
|
|
14.12.2009, 13:07:03
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 2 592 Pomógł: 445 Dołączył: 12.03.2007 Ostrzeżenie: (0%)
|
Cytat (3 sesje) 1 sesja - 3 zmienne sesyjne  Generalnie tak to właśnie działa. Pomijam zaawansowane mechanizmy uprawnień oparte na rolach, grupach etc. Tak czy inaczej sprowadza się to właśnie do sprawdzenia czy użytkownik jest zalogowany i czy ma prawa do przeglądania danych zasobów. Sesje są bezpieczne jeśli się je zabezpieczy. Dobrym rozwiązaniem jest stworzenie własnego sterownika (session_set_save_handler), który będzie oparty na bazie danych. Tak, można zabezpieczyć sesje przeciw atakom na sesje (np.: session fixation, session hijack, session sidejacking, session poisoning). -------------------- |
|
|
|
|
14.12.2009, 13:49:50
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 43 Pomógł: 0 Dołączył: 13.02.2008 Ostrzeżenie: (0%)
|
Cytat(vokiel @ 14.12.2009, 13:07:03 )  1 sesja - 3 zmienne sesyjne Generalnie tak to właśnie działa. Pomijam zaawansowane mechanizmy uprawnień oparte na rolach, grupach etc. Tak czy inaczej sprowadza się to właśnie do sprawdzenia czy użytkownik jest zalogowany i czy ma prawa do przeglądania danych zasobów. Sesje są bezpieczne jeśli się je zabezpieczy. Dobrym rozwiązaniem jest stworzenie własnego sterownika (session_set_save_handler), który będzie oparty na bazie danych. Tak, można zabezpieczyć sesje przeciw atakom na sesje (np.: session fixation, session hijack, session sidejacking, session poisoning). A czy sesje są niebezpieczne tylko wtedy gdy zapisywane są w cookies lub widoczne w adresie strony? |
|
|
|
|
15.12.2009, 15:03:24
Post
#4
|
|
 Grupa: Zarejestrowani Postów: 56 Pomógł: 2 Dołączył: 8.02.2004 Skąd: Olsztyn Ostrzeżenie: (0%)
|
Cytat(humman @ 14.12.2009, 15:49:50 ) A czy sesje są niebezpieczne tylko wtedy gdy zapisywane są w cookies lub widoczne w adresie strony? w cookies sa bardzo latwe do edytowania sesje wiec nie polecalbym w pasku to zmienna sesji  dawno nie siedzialem w tym powracam do php wiec moge sie mylic .. poprawcie jezeli tak ...;/
--------------------  |
|
|
|
|
15.12.2009, 15:05:19
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 2 592 Pomógł: 445 Dołączył: 12.03.2007 Ostrzeżenie: (0%)
|
W pasku może być przesyłany identyfikator sesji (SID), może być też w ciasteczku, możliwość ingerencji taka sama.
-------------------- |
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 21.06.2025 - 08:39 |
