Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> Sesje w panelu Administracyjnym
Fibolg
post
Post #1





Grupa: Zarejestrowani
Postów: 123
Pomógł: 0
Dołączył: 1.12.2003
Skąd: Chełmno

Ostrzeżenie: (0%)
-----

Witam,
powiedzmy, że większość funkcji panelu administracyjnego zarządzającego uzytkownikami opanowałem... Większość, bo liczę się z tym, że wszystko jest jeszcze do poprawy... Wiem, że skrypt nie jest trudny, ale dla początkującego... (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
Ups odszedłem od tematu... Właśnie - chodzi o to, że teraz trzebaby było zabezpieczyć to jakoś przed intruzami... Rozumiem, że sesje, ale jak to przekazać? Ciacha chyba nie co? Myślę nad URLem, bo przekazanie sesji w ten sposób (choć nie jest ładne) chyba jest lepsze (bezpieczniejsze). Prosiłbym o jakieś konkretne propozycje, w jaki sposób użyć sesji w takim skrypcie...
Go to the top of the page
+Quote Post
__phpion__
post
Post #2





Grupa: Zablokowani
Postów: 50
Pomógł: 0
Dołączył: 8.08.2004

Ostrzeżenie: (10%)
X----

A dlaczego nie ciacho? Wysylasz ciacho w postaci 'login haslo' i na poczatku kazdej strony sprawdzasz czy dla danego loginu haslo z ciacha jest poprawne. I nie ma szans, ze ktos recznie podmieni dane z ciacha i sie zaloguje. No chyba, ze zna haslo :P hehehe.
Go to the top of the page
+Quote Post
rogrog
post
Post #3





Grupa: Zarejestrowani
Postów: 602
Pomógł: 1
Dołączył: 3.04.2004
Skąd: Trójmiasto (Gdańsk)

Ostrzeżenie: (0%)
-----

wysyłanie ciastka z loginem i hasłem dramatycznie zmniejsza bezpieczeństwo - wystarczy że ktoś dobierze się adminowi do komputera i koniec; może także przechwycić hasła przesyłane między serwerem a klientem (chyba że użyjesz SSL). Można by ewentualnie kodować lub hashować obydwie dane ale czy to ma jakiś sens?

generalnie sesje php są bezpieczne. chodzi o to że bardzo małe jest prawdopodobieństwo, że ktoś trafi na losowy ciąg znaków alfanumerycznych o długości 32 znaków.


jeżeli tak zależy Ci na zwiększeniu bezpieczeństwa sesji możesz napisać własne sesje w których będziesz przeprowadzał jakieś zaawansowane sprawdzenie po IP itp.

możesz też spróbować np. zapisywać w sesji jakiś dodatkowy ciąg kontrolny, a następnie zapisywać go zahaszowanego w ciasteczku i porównywać na kazdej podstronie

Ale czy jest sens? naprawde sesje wbudowane w php generalnie nie są łatwe do złamania, a jaka przy tym jest wygoda użytkowania.

Jeżeli chcesz poprawić bezpieczeństwo skryptów, posprawdzaj raczej czy wszystkie zmienne masz zaslashowane, dane wysyłane do mysql przepuszczone przez mysql_[real_]escape_string(), dobrze sprawdzane dane w formularzach, czy korzystasz z $_GET a nie zmiennych rejestrowanych przez register_globals itp.

Ten post edytował rogrog 13.09.2004, 17:00:55
Go to the top of the page
+Quote Post
« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 22.08.2025 - 23:03
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn