Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Klasa autoryzacji - czy jest bezpieczna ?
Forum PHP.pl > Forum > PHP
netvalue
20.09.2013, 10:24:16
Witam,

Czy ta klasa
http://code.google.com/p/simple-php-framew...amp;spec=svn209

czy ta klasa jest bezpieczna ? wydaje mi się ze nie grozi w zaden sposób atak Session-Hijacking i Session Fixation , gdy wykorzystamy tą klase + wpis w hataccess php_flag session.use_trans_sid off
pyro
20.09.2013, 11:00:34
Ta klasa jest i bezsensowna i niebezpieczna.

- Używanie global wewnątrz klasy.
- Brak DRY.
- zapisywanie username i password w cookies
- ....
- ....
- ....

Nie polecam jej do używania.
netvalue
20.09.2013, 11:06:57
1. ok. global do usuniecia
2. DRY ? (don't repeat yourself ? )
3. hasło przeciez jest zapisywane salt i md5 ... 

[PHP] pobierz, plaintext 
  1.  
  2.  setcookie("auth_username", $username, time()+60*60*24*30, "/", $this->domain);
  3.                                         setcookie("auth_password", $md5pw, time()+60*60*24*30, "/", $this->domain);
  4.  
[PHP] pobierz, plaintext


czy ta struktura klasy pozwoli uchronić przed Session-Hijacking i Session Fixation questionmark.gif?
!*!
20.09.2013, 11:10:01
A widzisz tam jakieś zabezpieczenia? Nie. Poszukaj jakichś nowszych klas, 2006 rok nic Ci nie mówi? Na github masz jej "nowszą wersje".
netvalue
20.09.2013, 11:21:34
ok. którą zatem polecacie bezpieczną klasę do autoryzacji ?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.