[php] System sesji Opcje

[no_face]

Witajcie, mam do Was moze nie zbyt wyrafinowane pytanie, ale chcialbym uzyskac tutaj pomoc, niz pozniej zle doinformowany pluc sobie w twarz. Poszukuje dobrego, bezpiecznego a zarazem nie tak bardzo skomplikowanego systemu sesji. To co znalazlem to po trochu jeszcze jest dla mnie nie zrozumiale, a chcialbym w pelni zrozumiec ten temat, zanim wporwadze to w zycie. Chetnie poczytalbym o tym cos wiecej: stosowanie, dzialanie itd. jakis bardziej rozbudowanych systemow, niestety ciezko mi cos znalezc w pl. Jesli jestescie zmeczeni i nie macie ochoty na dluzsze wypowiedzi, prosze o jakies konkrety, materialy, tutoriale bym mogl zaczac prace (edukacje )

[free]

Jestes zarejestrowany od 2,5 roku i jeszcze nie nauczyles sie sesji ?
Dam ci rade - kup/wyporzycz dobra księge o PHP i SQL taką 800str wzwyż i przeczytaj uwaznie przez 2 miesiace. Gwarantuje ze sie nauczysz nei tylko sesji.

[no_face]

Chyba sie zle zrozumielismy. Sam temat sesji jest przezemnie obeznany, jak rowniez stworzenie jakiegos prostego systemu sesji, ktory zabezpiecza sesje przed session fixation czy session hijacking. W moim rozumieniu mialem na mysli jakies rozbudowane systemy kontroli sesji i kontroli zalogowanego uzytkownika, tak by stworzyc bezpieczna www pod wzgledem autoryzacji uzytkownika. A gdyby taki system byl nadzbyt skomplikowany to prosilbym o jakies materialy, ktore pomoglyby mi rozgryzc owy system.

[recces]

Zerknij do manuala i zobacz jakie dane o uzytkowniku otrzymuje serwer- na tej podstawie mozesz zbudowac autoryzacje uzytkownika.(np porownujac czy przypadkiem nie ma naraz 2 userow z taka sama sesja i ip, mozesz takze sprawdzac 'HTTP_REFERER'.. mozliwosci jest duzo ).
Jesli chcialbys jakies materialy- to proponuje sobie sciagnac i przeanalizowac gotowe systemy (np. CMS'y).

[erix]

Pomysły reccesa - jak najbardziej.

Sam temat sesji jest przezemnie obeznany, jak rowniez stworzenie jakiegos prostego systemu sesji, ktory zabezpiecza sesje przed session fixation czy session hijacking.

• Dane sesji trzymaj albo w bazie () albo gdzieś poza globalnym /tmp.
• Razem z SID-em sprawdzaj również dane unikalne dla usera; nie tylko IP, ale również niektóre nagłówki, które przesyła przeglądarka, np. user-agent, system, wewnętrzne IP, jeśli gość takowe posiada.

Ale byłbym tu przeciwko HTTP_REFERER. Czasem firewalle blokują jego przesyłanie, często sami użytkownicy to robią. Poza tym, jaki problem podmienić? (wiem, tyczy się również user-agenta, ale to nie jest IMHO czynione na taka skalę, jak to się dzieje z refererem).

Stuprocentowego zabezpieczenia nie znajdziesz; dobrze by było jeszcze strony serwować przez SSL-a.

[no_face]

Witajcie, aktualnie powrocilem do skryptu w ktorym chcialbym wykorzystac system sesji. Rozwazalem Wasze podpowiedzi i rozumiem ze trzeba wraz z nadaniem SID'a zebrac kilka innych informacji by moc bardziej trafnie zidentyfikowac usera. Wszystko okej, ale po odswierzeniu strony, mam sprawdzac specjalne cookie w ktorym jest info o sesji i sprawdzic z zawartoscia bazy i jesli users jest dostep uzyskany?

Z drugiej strony znalazlem na necie, system ktory ktos stworzyl na potrzeby konkursu

http://www.theuntouchables.yoyo.pl/test/scSession-sopel.zip

Co sadzicie? Mozna tutaj zrobic cos takiego jak kontrole czasu jaka wazna jest sesja itd.?