Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Sesje w panelu Administracyjnym
Forum PHP.pl > Forum > Przedszkole
Fibolg
13.09.2004, 09:30:50
Witam,
powiedzmy, że większość funkcji panelu administracyjnego zarządzającego uzytkownikami opanowałem... Większość, bo liczę się z tym, że wszystko jest jeszcze do poprawy... Wiem, że skrypt nie jest trudny, ale dla początkującego... smile.gif
Ups odszedłem od tematu... Właśnie - chodzi o to, że teraz trzebaby było zabezpieczyć to jakoś przed intruzami... Rozumiem, że sesje, ale jak to przekazać? Ciacha chyba nie co? Myślę nad URLem, bo przekazanie sesji w ten sposób (choć nie jest ładne) chyba jest lepsze (bezpieczniejsze). Prosiłbym o jakieś konkretne propozycje, w jaki sposób użyć sesji w takim skrypcie...
__phpion__
13.09.2004, 09:54:58
A dlaczego nie ciacho? Wysylasz ciacho w postaci 'login haslo' i na poczatku kazdej strony sprawdzasz czy dla danego loginu haslo z ciacha jest poprawne. I nie ma szans, ze ktos recznie podmieni dane z ciacha i sie zaloguje. No chyba, ze zna haslo :P hehehe.
rogrog
13.09.2004, 17:00:00
wysyłanie ciastka z loginem i hasłem dramatycznie zmniejsza bezpieczeństwo - wystarczy że ktoś dobierze się adminowi do komputera i koniec; może także przechwycić hasła przesyłane między serwerem a klientem (chyba że użyjesz SSL). Można by ewentualnie kodować lub hashować obydwie dane ale czy to ma jakiś sens?

generalnie sesje php są bezpieczne. chodzi o to że bardzo małe jest prawdopodobieństwo, że ktoś trafi na losowy ciąg znaków alfanumerycznych o długości 32 znaków.


jeżeli tak zależy Ci na zwiększeniu bezpieczeństwa sesji możesz napisać własne sesje w których będziesz przeprowadzał jakieś zaawansowane sprawdzenie po IP itp.

możesz też spróbować np. zapisywać w sesji jakiś dodatkowy ciąg kontrolny, a następnie zapisywać go zahaszowanego w ciasteczku i porównywać na kazdej podstronie

Ale czy jest sens? naprawde sesje wbudowane w php generalnie nie są łatwe do złamania, a jaka przy tym jest wygoda użytkowania.

Jeżeli chcesz poprawić bezpieczeństwo skryptów, posprawdzaj raczej czy wszystkie zmienne masz zaslashowane, dane wysyłane do mysql przepuszczone przez mysql_[real_]escape_string(), dobrze sprawdzane dane w formularzach, czy korzystasz z $_GET a nie zmiennych rejestrowanych przez register_globals itp.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.