[MySQL][PHP]Zabezbieczenie przed niepowołanym dostępem Opcje

[b4rt3kk]

Czy wystarczającym zabezpieczeniem przed obejrzeniem czy też wprowadzaniem zmian (np. jako administrator), jest poniższy sposób? Otóż chciałbym żeby jakiś fragment kodu był widoczny tylko dla zalogowanego użytkownika, czy da się to obejść i włamać, jeśli zrobię to jak poniżej?

[PHP] pobierz, plaintext 
if (...) {
$_SESSION['zalogowany']=TRUE; 
// sam warunek jest nieistotny, w każdym razie po zalogowaniu zmienna przyjmuje wartość TRUE.
}
 
if ($_SESSION['zalogowany']) {
// i tutaj blok widoczny jedynie dla użytkownika zalogowanego
}
[PHP] pobierz, plaintext 

Ten post edytował b4rt3kk 11.07.2010, 02:31:21

[siurek22]

zlamanie tego zabezpieczenia zalezy od konfiguracji serwera, jezeli jest zle ustawiony to na innym koncie serwera moza rozlozyc sesje za pomoca var_dump a pozniej stworzyc wlasna z opcja zalogowany true i podmienic
ale jak juz pisalem to musi byc odpowienio serwer ustawiony...
Lepszym zabezpieczeniem jest generowanie klucza sesji, zapisywanie go w bazie i porownywanie czy klucz zgadza sie z tym w bazie, jezeli tak to ok jezeli nie to dodajmy do pola niepoprawnych logowan +1 jezeli osiagnie np 10 to dajemy bana na ip. Dodatkowo zapisujemy date generowania klucza i regenerujemy go co pewien czas aby nie byl przez caly czas taki sam...
Dodatkowym zabezpieczeniem moze byc sprawdzanie czy klucz pochodzi z tego samego ip ale moze to byc upierdliwe dla osob z zmiennym ip

Ten post edytował siurek22 11.07.2010, 10:53:10