[ocena, opinia] Zabezpieczenia sesji MySQL

[ocena, opinia] Zabezpieczenia sesji MySQL, Sesja pobierana z bazy danych.

Johnas Zobacz profil	23.11.2013, 11:14:32 Post #1
Grupa: Zarejestrowani Postów: 650 Pomógł: 16 Dołączył: 5.07.2010 Skąd: Ściśle Tajne Ostrzeżenie: (0%)	Witam, stworzyłem baze danych o nazwie "Session", w której dodałem kolumny: id - liczba porządkowa auto increment, name - nazwa sesji times - ostatni czas wykonywania działań filename - plik w którym się znajdujemy (index.php, config.php) user - id użytkownika (0 - gość, powyższe liczby to identyfikatory konta) ip - ip na którym została utworzona sesja. I napisałem kod PHP: [PHP] pobierz, plaintext $session_id = session_id(); $timeSession = $config["TimeSession"]; $session_ip = get_ip(false); $sess['user'] = 0; // sesja gościa mysql_query("DELETE FROM Sesssion WHERE times<'$timeSession'"); if (isset($session_id)) { $file = FileName; $sQuery = mysql_query("SELECT times, filename, user FROM Session WHERE name = '$session_id' and ip = '$session_ip'"); $sWhile = mysql_num_rows($sQuery); if ($sWhile == 0) { mysql_query("INSERT INTO Session (name, times, filename, user, ip) VALUES ('$session_id', '$timeSession', '$file', '0', '$session_ip')"); } else { $session = mysql_fetch_assoc($sQuery); if ($session['times']<$config['TimeSession']) { $timeSession = $config["TimeSession"]; mysql_query("UPDATE Session SET times='$timeSession', filename='$file' WHERE name = '$session_id' and ip = '$session_ip'"); $sess = mysql_fetch_assoc(mysql_query("SELECT times, filename, user FROM Session WHERE name = '$session_id' and ip = '$session_ip'")); } else { mysql_query("INSERT INTO Session (name, times, filename, user, ip) VALUE ('$session_id', '$timeSession', '$file', '0', '$session_ip')"); } } } [PHP] pobierz, plaintext TimeSession: [PHP] pobierz, plaintext // Czas Sesji $config["TimeSession"] = TIME_NOW+$config['TimeSession']; [PHP] pobierz, plaintext Działanie kodu wygląda następująco. Na początku skrypt usuwa stare sesje gdzie czas przekroczył dozwolony limit trwania sesji (czas ustawiony przez administratora). Następnie skrypt pobiera nazwę sesji oraz ip od użytkownika, po czym sprawdza czy istnieje sesja w bazie danych z pobranymi parametrami (ip oraz nazwa sesji). Jeżeli nie istnieje taka sesja to tworzy taką sesje w bazie danych, jeżeli jednak istnieje to przydziela identyfikator który został wpisany do bazy. Początkowo user nie jest zalogowany przez co $sess['user'] wynosi 0, dlatego podczas poprawnego logowania następuje update tabeli "user" na identyfikator konta z pasującym loginem i hasłem wpisanym przez użytkownika. I tutaj pytanie mam do doświadczonych użytkowników: czy moje główkowanie w celu zabezpieczenia się przed Session Hijacking da jakiś odpowiedni skutek, czy napisałem niepotrzebne pobieranie sesji z bazy danych? Ten post edytował Jonek_1993 23.11.2013, 11:26:05 -------------------- Jak coś jest dobre, to nie znaczy że nie może być to lepsze - Ideały nie istnieją ;D Strony internetowe Świnoujście