02.09.2010, 18:03 | #1 |
Мафиози
Регистрация: 11.09.2008
Адрес: <H1></H1>
Сообщений: 1,174
Вес репутации: 244
|
сессии
делаю авторизацию.
вопрос: безопасны ли сессии? можно их подделать? достаточно ли того, что в сессии я буду указывать чисто id юзера? и на сайте проверять этот id, и авторизовывать его под своим ником. или лучше в сессиях хранить логин и пароль(в md5)? и сверять с базой, после чего авторизовывать его под своим ником.
__________________
|
02.09.2010, 19:24 | #2 | |||
Починяю примуса
Регистрация: 26.09.2008
Сообщений: 1,505
Вес репутации: 286
|
Цитата:
Цитата:
Цитата:
__________________
|
|||
02.09.2010, 20:33 | #4 |
Bannеd
Регистрация: 17.09.2008
Сообщений: 6,446
Вес репутации: 370
|
Русская мафия, храните файлы сессий лучше внутри домашней папки хостинга, но вне папки сайта, будет чуток безопаснее.
если интересует вопрос о том, как сессии реализованные средствами пхп выглядят для браузера, то это просто название сессии и ее "номер" (к примеру PHPSESSION=ab291ade1ade1adeab291ade1ade1ade), без данных самой сессии, а все данные хранятся в файле соответствующим "номеру" сессии. Добавлено через 58 секунд это еще смотря что и как реализовано. Последний раз редактировалось Последний Герой; 02.09.2010 в 20:33. Причина: Добавлено сообщение |
03.09.2010, 02:23 | #5 |
Эксперт
Регистрация: 05.03.2008
Сообщений: 1,095
Вес репутации: 250
|
Русская мафия
Только отключите передачу идентификатора сессии через URL (?phpsession=....), пусть они храняться в куках. При передаче через урл этот id сессии может фиксироваться в логах вебсерверов тех сайтов, которые вы посещали, ну и этими сайтами могут перехватываться (см. заголовок refferer). |
03.09.2010, 02:29 | #6 |
Эксперт
|
Русская мафия, " у тя немного неправильное понятие наверно
- логин и пароль хранить нужно в БД - сессия это сессия (в ней можно хранить самые раззые переменные ) например если логин и пароль совпали - - то в сессии хранишь 1(одын) - md5 ничего не нагружает! функция как функция (а данные хранятся в текстовом виде) попробуй почитать книги по php работа с сессиями не обязательно лесть в серию проф - например в серии книг для чайников нормально расписано (на пальцах) - ничего смешного! помоему ты какт о уже поднимал вопрос про авторизацию? но могу спутать ).. главное, спрашивай не спрашивай - не пися не научишся ! когда будешь писать ты сам поймешь слабые места
__________________
Последний раз редактировалось Anadonam; 03.09.2010 в 02:34. |
03.09.2010, 08:24 | #7 |
Мастер
Регистрация: 17.03.2008
Сообщений: 638
Вес репутации: 238
|
Anadonam, ну во первых, md5 функция, которая делает лишнюю работу, во вторых, как он собрался пароль и логин из md5-хеша извлекать?
Значит будет выборку пользователя по ключу с этим хешем делать, а это дольше чем выборку по целочисленному индексу делать. Да и вообще md5 это какое-то горе от ума в данном случае. Единственно, что это может чуть усложнить взлом, если на стороне сервера, кто-то файл сессии перепишет. В этом случае ID пользователя проще узнать чем, md5 хеш, который храниться в базе (например, на форумах ID можно по ссылке на профиль видеть). Но если файлы сессии могут на стороне сервера менять, надо хостера менять (ну или менять стандартный механизм сессий и хранить их в базе данных) |
03.09.2010, 11:12 | #8 | |||
Bannеd
Регистрация: 17.09.2008
Сообщений: 6,446
Вес репутации: 370
|
Цитата:
Цитата:
Цитата:
а авторизацию к базе где хранить, если не в файлах? |
|||
03.09.2010, 12:04 | #9 | |
Эксперт
|
Цитата:
его не надо из хеша извлекать - прям в хеше в базе и хранят md5 односторонняя функция - и незачем вам чт то с помощью нее извлекать - оно для этого не предназначено - никто пароль в сессии не хранит! для порталов там хрянят тока данные юзера - чтоб писать "Вася ты на сайте здравствуй". и всё - перехватить да есть способы - а толк ? ведь пароль там не храним... у вас скорее троян из браузера (из формы) пароль свистнет - нежели кто то перехватывать сесию будет..)
__________________
Последний раз редактировалось Anadonam; 03.09.2010 в 12:05. Причина: Добавлено сообщение |
|
03.09.2010, 12:05 | #10 |
Bannеd
Регистрация: 17.09.2008
Сообщений: 6,446
Вес репутации: 370
|
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
сессии в URL | shoorikgm | Вопросы от новичков | 3 | 18.07.2010 12:43 |
убираем сессии в IPB | GhosTama | Установка кода на различные движки | 4 | 18.05.2010 23:48 |
Форум IPB и сессии | Dromok | Вопросы от новичков | 5 | 14.04.2010 21:39 |
Сессии | Set13 | Вопросы по работе системы | 6 | 01.02.2008 21:55 |
IPB, сессии и Сапа | Hichkok | Вопросы по работе системы | 6 | 13.10.2007 15:05 |
Часовой пояс GMT +3, время: 01:58.