 password_hash w $_SESSION, security |
| password_hash w $_SESSION, security |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 460 Pomógł: 49 Dołączył: 5.06.2011 Ostrzeżenie: (0%) 
 |
Chodzi mi o przybliżenie tematu security w przypadku danych przechowywanych w $_SESSION.
Otóż spotkałem się z teorią, że warto dokonywać uwierzytelnienia użytkownika (authentication) przy każdym wchodzeniu na każdą podstronę serwisu internetowego. Wtedy niebezpieczeństwo włamania się przez osoby 3-cie maleje. Rozumiem to tak, że przechowujemy w sesji login i password_hash użytkownika i za każdy wejściem na podstronę go uwierzytelniamy, czyli weryfikujemy password_hash z bazą danych. I moje pytanie, czy przechowywanie password_hash w $_SESSION nie jest niebezpieczne? Czytałem, że przechowywanie plain text password, czyli normalnie hasła, w $_SESSION jest zdecydowanie niebezpieczne. Ale czy password_hash nie jest przypadkiem równie wystarczającą daną do wejścia na czyjeś konto i co za tym idzie - wymagającą unicestwienia zaraz po wykorzystaniu? |
 |
 
|
trzczy password_hash w $_SESSION 7.02.2016, 12:42:48 
kapslokk Sesja jest trzymana na serwerze, więc to co w niej... 7.02.2016, 12:51:36 Damonsson A w jaki sposób to Cię niby bardziej zabezpiecza? ... 7.02.2016, 13:02:00 viking Na moje oko to raczej chodziło o regenerację id se... 7.02.2016, 13:03:29 
trzczy Właśnie też mi coś w tym nie grało. Wziąłem to z j... 7.02.2016, 14:12:17   |
|
Aktualny czas: 19.08.2025 - 09:12 |
