Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]Bezpieczne sesje
Forum PHP.pl > Forum > Przedszkole
jarek998
2.12.2015, 15:57:59
Witam, jako że tutaj są bardziej doświadczeni użytkownicy, chciałbym się zapytać czego używać przy sesjach aby nie było zbyt łatwo jej przechwycić?

Aktualnie mam takie coś:

[PHP] pobierz, plaintext 
  1. session_start();
  2. session.use_only_cookies;
  3. if(empty($_SESSION['gracz'])){
  4. echo("<script type='text/javascript'>window.alert('Twoja sesja wygasła.');document.location.href = 'index.php';</script>");
  5. }
  6.  
  7. $string = $_SERVER['HTTP_USER_AGENT'];
  8. $string .= 'SHIFLETT';
  9.  
  10. /* Dodanie innych danych */
  11.  
  12. $fingerprint = md5($string);
  13.  
  14. if (isset($_SESSION['HTTP_USER_AGENT']))
  15. {
  16.     if ($_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT']))
  17.     {
  18.        echo "Tutaj będziemy prosić o hasło";
  19.         exit;
  20.     }
  21. }
  22. else
  23. {
  24.     $_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']);
  25. }
[PHP] pobierz, plaintext


Cały ten plik jest odpowiedzialny za sesje.

Macie jakieś ciekawe rozwiązania? Czy to jest dobrze zrobione?
Pozdrawiam smile.gif
viking
2.12.2015, 16:04:26
Co to jest?
[PHP] pobierz, plaintext 
  1. session.use_only_cookies;
[PHP] pobierz, plaintext

Dane te ustawiasz przez ini_set();

User agent jest pewnie miliony takich samych.
jarek998
2.12.2015, 16:13:56
Czyli muszę zrobić w ten sposób?
[PHP] pobierz, plaintext 
  1. ini_set(session.use_only_cookies);
[PHP] pobierz, plaintext


Czyli User Agent skasować, bo jest nie potrzebne?
viking
2.12.2015, 16:21:38
W kodzie który zacytowałeś masz nawet link do dokumentacji. Jak wygląda składnia? 
[PHP] pobierz, plaintext 
  1. string ini_set ( string $varname , string $newvalue )
[PHP] pobierz, plaintext


Jeśli już to ip.
jarek998
2.12.2015, 16:25:06
jako $varname zrobić = session.use_only_cookies
a $newvalue = 1 ?

Kompletnie na tym leże :/
viking
2.12.2015, 16:28:09
To przeczytaj jakiś kurs albo dokumentację o zmiennych, stałych, funkcjach. Bez tego nic nie zrobisz. Nawet w stopce mam link.
jarek998
2.12.2015, 16:28:13
Wpadłem na ciekawy artykuł, w którym zawarty jest kod:

[PHP] pobierz, plaintext 
  1. ini_set('session.save_path', '/bezpieczna/lokalizacja/sesji');
[PHP] pobierz, plaintext


dobre rozwiązanie? Czy muszę teraz stworzyć katalogi "bezpieczna/lokalizacja/sesji"?
Damonsson
2.12.2015, 16:38:23
1. zamiast user_agent, weź sobie coś takiego http://clientjs.jacks.io/ i masz tam browser fingerprint id.
2. gdzie trzymasz tę stronę? Jak na jakimś hostingu czy VPS z dzielonym dyskiem to jasne, bezpieczniej będzie tylko tam gdzie Ty masz dostęp, oczywiście POZA public_html. Jak serwer jest Twój to zostaw w spokoju ścieżkę.

wpisz sobie ten save_path i zobacz czy się same utworzą, jak nie to znaczy, że musisz stworzyć, kosztowałoby Cię to mniej czasu niż napisanie posta.
jarek998
3.12.2015, 01:35:13
Hosting wykupiony na pewien okres.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.