czy hacking przez użycie dziur w sesjach jest możliwy?? czy trzeba te sesje jakoś zabezpieczać??
pytan bo twoże swojego niby-cmsa, no i wiele info trzymam w sesjach, niechciałbym by ktoś sam sobie usawiał sesie
Pełna wersja: [PHP]sesie a bezpieczeństwo
Nikt nie może zmienić zawartości sesji ani samodzielnie jej zmieniać. Moze jedynie komus wykraść sesje wykradając jego id. Dlatego warto odnawiac id sesji do odswiezenie strony.
Istnieje kilka radzajów ataków. Session Injection, Session Fixation, wspomniane przez wookie skradzenie identyfikatora i wiele innych.
Warto:
1) Używać session_regenerate_id" title="Zobacz w manualu PHP" target="_manual, bądź (jeżeli posidasz własny mechanizm sesji) odpowiednik tej funkcji + identyfikacja po IP + ew. identyfikacja po nazwie przeglądarki
2) Żeby Ci do głowy nie przyszło zrobienie czegoś takiego
3) Upewnić się czy inni użytkownicy serwera (jeśli takowi istnieją) mają dostęp do Twoich sesji
4) I wiele, wiele innych
5) Użyć wyszukiwarki/Google bo było sporo na ten temat
Warto:
1) Używać session_regenerate_id" title="Zobacz w manualu PHP" target="_manual, bądź (jeżeli posidasz własny mechanizm sesji) odpowiednik tej funkcji + identyfikacja po IP + ew. identyfikacja po nazwie przeglądarki
2) Żeby Ci do głowy nie przyszło zrobienie czegoś takiego
Bo to gotowy przepis na katastrofę
3) Upewnić się czy inni użytkownicy serwera (jeśli takowi istnieją) mają dostęp do Twoich sesji
4) I wiele, wiele innych
5) Użyć wyszukiwarki/Google bo było sporo na ten temat
no ja mam w ten sposób
np logowanie i jeżeli ktoś sie poprawnie zaloguje to
$_session[zalogowany] = nick z bazy
$_session[user_rank]= ranga z bazy
np logowanie i jeżeli ktoś sie poprawnie zaloguje to
$_session[zalogowany] = nick z bazy
$_session[user_rank]= ranga z bazy
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.