[PHP] jakie robic sesje? Opcje

[hermo767]

witam, troche poczytalem, ale nic konkretnego nie znalazlem, a jak juz to sprzed paru lat

czy wbudowane do php sesje sa na prawde az tak niebezpieczne, zeby z nich nie korzystac?
slyszalem cos o jakis handlerach, ktore poprawiaja bezpieczenstwo, ale nigdzie nie znalazlem jakiegos przykladowego zastosowania tego.

[Hpsi]

Sessje niebezpieczne? owszem jesli ich nie zabezpieczysz sa niebezpieczne (IMG:style_emoticons/default/smile.gif)
poczytaj to: http://pl.wikibooks.org/wiki/PHP/Sesje powinno odpowiedzieć ci na niektóre pytania

[hermo767]

czyli jak zrobie na podstawie tego z wikibooks to raczej nie mam sie co obawiac?

[Hpsi]

Raczej żadnych problemów z włamami / przechwycenami sessji nie miałem (IMG:style_emoticons/default/smile.gif)

[hermo767]

cos czytalem o problemach z hostingami, ze jak na jednym jest kilka stron z sesjami to mozna przechwycac

[matino]

Jeśli masz kilka serwisów na serwerze to korzystając z sesji musisz:
a) używać innych identyfikatorów sesji dla każdego serwisu albo
(IMG:style_emoticons/default/cool.gif) zapisywać sesję każdego serwisu w dedykowanym katalogu

Zdecydowaniem bezpieczniejszym rozwiązaniem jest opcja (IMG:style_emoticons/default/cool.gif) - wystarczy w .htaccess ustawiać zmienną session.save_path na unikalny katalog.

[hermo767]

czyli jakby to mialo wygladac, bo nie bardzo rozumiem

[matino]

Domyślnie każda sesja na serwerze zapisuje się w katalogu ustawionym w php.ini.
Jeśli masz kilka serwisów na 1 serwerze to wszystkie sesje lądują w tym samym katalogu.
Żeby tego uniknąć możesz dodać w pliku .htaccess w katalogu głównym każdego serwisu linijkę:

[PHP] pobierz, plaintext 
php_value session.save_path pełna_ścieżka_do_folderu
[PHP] pobierz, plaintext 

czyli np. jeśli masz serwis o nazwie example, to
a) tworzysz katalog example w katalogu z sesjami (załóżmy, że temp)
(IMG:style_emoticons/default/cool.gif) dodajesz wpis do .htaccess

[PHP] pobierz, plaintext 
php_value session.save_path "pełna_ścieżka_do_folderu temp/example"
[PHP] pobierz, plaintext 

[hermo767]

dzieki, na tej stronie jeszcze jest napisane o ochronie przed Session Hijacking
i jako sposob podane $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
a co jak mam zrobione zapamietywanie usera na cookie? wtedy jak ktos ma zmienne IP to sesja padnie. jest jakis lepszy sposob?

[nekomata]

można też za pomocą php ustawić folder sesji. session_save_pathMożesz zrobić coś takiego

[PHP] pobierz, plaintext 
$dane = md5($_SERVER['HTTP_USER_AGENT'].sha1($_SERVER['HTTP_ACCEPT_LANGUAGE']).'tak zwana sól...');
[PHP] pobierz, plaintext 

i wiadomo dane wrzucasz do sesji i do ciastka , i sprawdzasz potem.

Ten post edytował nekomata 13.04.2011, 20:55:24

[hermo767]

dzieki, na tej stronie jeszcze jest napisane o ochronie przed Session Hijacking
i jako sposob podane $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
a co jak mam zrobione zapamietywanie usera na cookie? wtedy jak ktos ma zmienne IP to sesja padnie. jest jakis lepszy sposob?

moglby ktos jeszcze na to odpowiedziec? (IMG:style_emoticons/default/smile.gif)

i jeszcze jedno.
jakos udalo mi sie zrobic to z cookie i ladnie mi dziala zapamietywanie, ale obawiam sie, ze to nie jest bezpieczne.
jak zaznaczy sie przycisk to zapisuje cookie tak:

[PHP] pobierz, plaintext 
setcookie("aaa[username]", $username, $time + 3600);   
	setcookie("aaa[password]", $password, $time + 3600);
[PHP] pobierz, plaintext 

a potem to odczytuje :

[PHP] pobierz, plaintext 
if(isset($_COOKIE['aaa']))		{ 
[PHP] pobierz, plaintext 

ale wydaje mi sie ze tak to sobie wystarczy wyciagnac ciasteczko z komputera i kazdy sie podlaczy, wiec co tu jest musze dodac?

[matino]

Zostaw cookies w spokoju i przechowuj wszystkie dane sesji na serwerze (

[PHP] pobierz, plaintext 
$_SESSION['id'] = ...
[PHP] pobierz, plaintext 

)
Generalnie jeśli użytkownik się zaloguje, to ustawiasz w sesji tylko jego id / username. Przechowywanie hasła nie jest wskazane (IMG:style_emoticons/default/smile.gif)

[hermo767]

ale chce zrobic zapamietywanie, zeby nie trzeba bylo sie za kazdym razem logowac

[matino]

No to robisz np. tak na początku każdej strony, do której ma być dostęp dla zalogowanych:

[PHP] pobierz, plaintext 
session_start();
if (!isset($_SESSION['id'])
// przekieruj do strony logowania
[PHP] pobierz, plaintext 

[hermo767]

no tak, ale to mi nie zadziala jak zamkne przegladarke, bo wtedy sesja automatycznie sie skasuje, a dzieki cookies moge ja utrzymac.

powtarzam wiec pytania, zeby nie zaginely:

dzieki, na tej stronie jeszcze jest napisane o ochronie przed Session Hijacking
i jako sposob podane $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
a co jak mam zrobione zapamietywanie usera na cookie? wtedy jak ktos ma zmienne IP to sesja padnie. jest jakis lepszy sposob?

moglby ktos jeszcze na to odpowiedziec? (IMG:style_emoticons/default/smile.gif)

i jeszcze jedno.
jakos udalo mi sie zrobic to z cookie i ladnie mi dziala zapamietywanie, ale obawiam sie, ze to nie jest bezpieczne.
jak zaznaczy sie przycisk to zapisuje cookie tak:

[PHP] pobierz, plaintext 
setcookie("aaa[username]", $username, $time + 3600);   
	setcookie("aaa[password]", $password, $time + 3600);
[PHP] pobierz, plaintext 

a potem to odczytuje :

[PHP] pobierz, plaintext 
if(isset($_COOKIE['aaa']))		{ 
[PHP] pobierz, plaintext 

ale wydaje mi sie ze tak to sobie wystarczy wyciagnac ciasteczko z komputera i kazdy sie podlaczy, wiec co tu jest musze dodac?

[cim]

Witam,

a czy nie lepiej zamiast w cookies zapisywać login i hasło po prostu zmienić czas ważności ciasteczka sesji? http://www.php.net/manual/en/session.confi...cookie-lifetime

Pozdrawiam

[hermo767]

no duzo lepiej, musze to wyprobowac (IMG:style_emoticons/default/smile.gif) to dziala na tej samej zasadzie?

a co z pierwszym pytaniem?

[cim]

Witam,

no duzo lepiej, musze to wyprobowac (IMG:style_emoticons/default/smile.gif) to dziala na tej samej zasadzie?

tworząc sesję do użytkownika trafia ciasteczko z identyfikatorem jego sesji na serwerze. Domyślnie jest ono usuwane przy zamykaniu przeglądarki. Ustalając czas samemu możesz decydować jak długo ciasteczko będzie jeszcze na komputerze.

Pozdrawiam

[hermo767]

tylko z tego co tam wyczytalem to tez sie ustawia to w htaccess, wiec nie bede mogl zrobic if w kodzie php i zawsze kazdy bedzie mial przedluzona dlugosc ciastka, a nie tylko wybrani

[nekomata]

Jestem ciekawy gdzie takie "czary" wyczytujesz?2 link z google . A wybrani... możesz ustawić w ciastku np. ID i haslo usera z bazy.. albo jak chcesz mniej "czytelne" to dodaj kolumne w tabeli z userami coś jak "md5($user.$haslo.$data_rejestracji.$id)" wtedy ciastko będzie miału wygląd podobny do PHPSSID i nie będzie czytelne. tylko zabezpiecz strone przed XSS...