Witam
Czy to dobre rozwiązanie?
1. Użytkownik loguje się do strony - sprawdzany jest login i hasło użytkownika jeśli się zgadza z tym zapisanym w bazie rejestrowana jest sesja z loginem użytkownika i informacja ze się zalogował i ze ma range user. (3 sesje)
2. Na każdej stornie do której dostęp mają tylko użytkownicy sprawdzane jest czy istnieje sesja użytkownik i czy sesja nie wygasła.
3. Dla określonych funkcji użytkownika jest warunek if jest sesja uzytkownik i if ranga użytkownika user to wyświetl mu takie funkcje.
4. Gdy się użytkownik wylogowuje kasowana jest sesja.
Pytanka:
-czy jest lepsze rozwiązanie? Jeśli tak to jakie.
- czy sesje są bezpieczne?
- czy da się jakoś zabezpieczyć sesje?
pozdrawiam
Pełna wersja: zalogowany użytkownik na sesji
Cytat
(3 sesje)
1 sesja - 3 zmienne sesyjne
Generalnie tak to właśnie działa. Pomijam zaawansowane mechanizmy uprawnień oparte na rolach, grupach etc. Tak czy inaczej sprowadza się to właśnie do sprawdzenia czy użytkownik jest zalogowany i czy ma prawa do przeglądania danych zasobów.
Sesje są bezpieczne jeśli się je zabezpieczy. Dobrym rozwiązaniem jest stworzenie własnego sterownika (session_set_save_handler), który będzie oparty na bazie danych.
Tak, można zabezpieczyć sesje przeciw atakom na sesje (np.: session fixation, session hijack, session sidejacking, session poisoning).
Cytat(vokiel @ 14.12.2009, 13:07:03 ) 
1 sesja - 3 zmienne sesyjne
Generalnie tak to właśnie działa. Pomijam zaawansowane mechanizmy uprawnień oparte na rolach, grupach etc. Tak czy inaczej sprowadza się to właśnie do sprawdzenia czy użytkownik jest zalogowany i czy ma prawa do przeglądania danych zasobów.
Sesje są bezpieczne jeśli się je zabezpieczy. Dobrym rozwiązaniem jest stworzenie własnego sterownika (session_set_save_handler), który będzie oparty na bazie danych.
Tak, można zabezpieczyć sesje przeciw atakom na sesje (np.: session fixation, session hijack, session sidejacking, session poisoning).
Generalnie tak to właśnie działa. Pomijam zaawansowane mechanizmy uprawnień oparte na rolach, grupach etc. Tak czy inaczej sprowadza się to właśnie do sprawdzenia czy użytkownik jest zalogowany i czy ma prawa do przeglądania danych zasobów.
Sesje są bezpieczne jeśli się je zabezpieczy. Dobrym rozwiązaniem jest stworzenie własnego sterownika (session_set_save_handler), który będzie oparty na bazie danych.
Tak, można zabezpieczyć sesje przeciw atakom na sesje (np.: session fixation, session hijack, session sidejacking, session poisoning).
A czy sesje są niebezpieczne tylko wtedy gdy zapisywane są w cookies lub widoczne w adresie strony?
Cytat(humman @ 14.12.2009, 15:49:50 )
A czy sesje są niebezpieczne tylko wtedy gdy zapisywane są w cookies lub widoczne w adresie strony?
w cookies sa bardzo latwe do edytowania sesje wiec nie polecalbym w pasku to zmienna sesji
dawno nie siedzialem w tym powracam do php wiec moge sie mylic .. poprawcie jezeli tak ...;/
W pasku może być przesyłany identyfikator sesji (SID), może być też w ciasteczku, możliwość ingerencji taka sama.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.