воскресенье, 02 декабря 2007
03:59

сессии

все записи пользователя в сообществе @web
Насколько безопасно использовать массив $_SESSION[]?
К примеру в $_SESSION['user_id'] записан уникальный номер одного из участников форума, выполняющего функции модератора.
Безопасно ли открывать модерские функции ориентируясь на $_SESSION['user_id']?
Насколько вероятна подмена/кража сессии?
Как лучше поступить?

URL
Комментарии
02.12.2007 в 09:31

[php]
www.welikeit.ru/php-sessia
Безопасно ли открывать модерские функции ориентируясь на $_SESSION['user_id']?
смотря как он присваивается. если проверка идет по ip ? логину паролю - то конечно безопасно, в известной степени. А если по строке в Get то нет)
URL
02.12.2007 в 15:00

Джей Ди
Всё будет Кока-Кола.
@web брр... не особенно четкий вопрос.
Дело в том что у каждого пользользователя свой набор сессий, т.е. обратиться к чужим практически невозможно, разве что заменить идентификатор сесии, а сделать это крайне сложно. В пределах своей сессии пусть делает что хочет.
Если же вопрос идёт в сторону хранения самих сессий, то стандартный метод вполне нодежён, если всё же есть предрассудки, то можно написать свой собственный обработчик, наприме через базу или заблоченный каталог. Мне пока хватает стандартного...

Поясни вопрос. Я в сессиях храню только кешированный логин и пароль, и сверяю их с базой, а затем уж и присваиваю права.

P.S. И наконец, если у тебя в мыслях было использовать сессии как общие ханилица, то тут что то не так... ибо насколько я знаю они для этого не предназначены.
URL
03.12.2007 в 03:31

@web
[php]
www.welikeit.ru/php-sessia
Весьма ценная инфа, благодарю =)
смотря как он присваивается. если проверка идет по ip ? логину паролю - то конечно безопасно, в известной степени. А если по строке в Get то нет)
GET в данном случае вообще ни для чего не употребляется.
Поясню: авторизация происходит после получения $_POST['user'] и $_POST['password'] -если они найдены в БД, то $_SESSION['user_id'] присваивает уникальный id юзера. Если этот юзер является модератором/администратором, то после if($_SESSION['user_id']==$id_moderatora) ему откроются дополнительные функции.
Я че-то так подумал, что проще подобную проверку реализовывать не по id, а по ключу группы (т.е., к примеру, 0 - пользователь, 1 -модератор, 2 -администратор).

Собственно я лишь хотел узнать, может ли хакер подменить $_SESSION['user_id'] под любой ему известный?

Что касается кражи сессии -то я сам одно время этим баловался, поэтому решил поинтересоваться, какие методы защиты использует народ.. :)

Волчонок Джей ну, думаю пояснил нормально.. :)
И наконец, если у тебя в мыслях было использовать сессии как общие ханилица
Да нет, зачем же :)

И последний вопрос: нужно ли указывать имя группы сессии, если вероятность ошибочной перезаписи одного и того же элемента $_SESSION[] стремится к нулю?
URL

Расширенная форма

Редактировать

Подписаться на новые комментарии
Получать уведомления о новых комментариях на E-mail