Witam

Mam pytanie odnosnie sesji

[PHP] pobierz, plaintext 
<?php
$query = "SELECT email,password FROM users WHERE email='$email' AND password='$password' ";
 
$result = mysql_query($query);
 
if (mysql_num_rows($result) != 1) {
$error = "Bad Login";
    header ("Location: ../index.php");
 
} else {
   
    $_SESSION['sid'] = $email;
    $date = date('d/m/Y G:i:s');
    $update = mysql_query ("UPDATE users SET act_date= '$activity' WHERE email='$email'") 
    or DIE(mysql_error());
    header ("Location: ../account.php");
 
}
?>
[PHP] pobierz, plaintext 

mam taka czes kodu do logowania i zaczecia sesji. Moje pytanko jest jak posluguje sie dalej $_SESSION['sid'] to jest to w miare oczywiste i chyba latwo to podejzec. Zastanawiam sie jak zabezpieczys wystartowana sesje dodam ze potrzebuje jakiegos parametru np email lub user id do pobierania wartosci z bazy. Jakies pomysly na bezpieczne sesje.

Dzieki

Zacznijmy od tego, że nie można łatwo podejrzeć. Dwa - używaj najlepiej ID danego usera.
Pomijam to, że sesje są wystarczająco bezpieczne i opisana przez ciebie sytuacja nie może mieć miejsca (podejrzenie).

Podsumowując - dodaj pole `id` i tym się kieruj. Nie ma mowy żeby ktoś ci to podejrzał, chyba że ma wgląd w system plików.

Pozdrawiam.

A cos w stylu ze sesja ma byc wystartowana z tego samego serwera?? Nie ma mozliwosci wyswietlic aktywnych sesji np w mozilli lub programu ktury wylapuje mi aktywne sesje?

Bzdura. Jak niby ma wystartować na jednym a działać na drugim?
Twój kod po dodaniu ID będzie wystarczająco bezpieczny.

Pozdrawiam.

Nie do końca będzie bezpieczny. Domyślnie sesje PHP nie są w ogóle zabezpieczone przed kradziejstwami itd. - dodaj sobie pole, czy sesja w ogóle została zainicjowana przez Ciebie, a także rejestruj IP i przeglądarkę gościa:

[PHP] pobierz, plaintext 
<?php
// Funkcja pomocnicza
function initSession()
{
  session_regenerate_id();
  $_SESSION['initialized'] = true;
  $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
  $_SESSION['browser'] = $_SERVER['HTTP_USER_AGENT'];
} // end initSession();
 
// Zabezpiecza przed spreparowaniem identyfikatora sesji
if(!$_SESSION['initialized'])
{
   initSession();
}
 
// Zabezpiecza przed wykorzystaniem identyfikatora sesji przez kogos innego
if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR'] || $_SESSION['browser'] != $_SERVER['HTTP_USER_AGENT'])
{
  session_destroy();
  initSession();
}
 
// Teraz mozna bezpiecznie korzystac z sesji: ladowanie zalogowanego uzytkownika, logowanie i te sprawy
?>
[PHP] pobierz, plaintext 

Na deser lektura: http://phpsec.org/projects/guide/4.html

No wlasnie wiedzialem ze cos jest ale nie moglem sie dogrzebac teraz znalazlem to:

http://albi.vxe.pl/sid/14e9a04932c23de45d5...ssion-fixation/

Ogolnie to samo dzieki o to mi chodzilo...

jesli Twoje pierwsze $query dziala na zasadzie logowania, to wywal z niego sprawdzanie hasla i rob to spod PHP, dlaczego? a no dla tego ze jak ktos walnie Ci SQL I w "email='$email'" i wrzuci tam komentarz to haslo nie bedzie juz sprawdzana i bedzie mozna sie zalogowac jako kazdy user

tak ale dane z formy odbieram tak

[PHP] pobierz, plaintext 
<?php
$username = htmlspecialchars($_POST['username']);
$password = md5($_POST['password']);
?>
[PHP] pobierz, plaintext 

wiec chyba bezpiecznie ?

Lepiej użyj



Htmlspecialchars escejpuje znaki HTMLowe, przy czym do wyescapeowania pojedyńczego cudzysłowa trzeba go specjalnie zmusić przekazująć ENT_QUOTES jako drugi parametr. Nie do tego została ta funkcja napisana.