сессии

Русская мафия · 02.09.2010, 18:03

делаю авторизацию.
вопрос: безопасны ли сессии? можно их подделать? достаточно ли того, что в сессии я буду указывать чисто id юзера? и на сайте проверять этот id, и авторизовывать его под своим ником.

или лучше в сессиях хранить логин и пароль(в md5)? и сверять с базой, после чего авторизовывать его под своим ником.

Atomic · 02.09.2010, 19:24

Цитата:

безопасны ли сессии?

подобные вопросы вызывают улыбку, много зависит от вас, не менее и от хостера.

Цитата:

буду указывать чисто id юзера

Лучше несколько параметров привязывать

Цитата:

(в md5)

черт его знает, по моему это до дупы, если залезут в папку на хвостинге, то уже никакие хеши не помогут, какбэ

ahsinis · 02.09.2010, 20:21

на самом деле без разницы что вы храните в сессии, id или md5().
если вас ломанули, то это одно и тоже (md5 - больше нагружает базу данных)

Последний Герой · 02.09.2010, 20:33

Русская мафия, храните файлы сессий лучше внутри домашней папки хостинга, но вне папки сайта, будет чуток безопаснее.
если интересует вопрос о том, как сессии реализованные средствами пхп выглядят для браузера, то это просто название сессии и ее "номер" (к примеру PHPSESSION=ab291ade1ade1adeab291ade1ade1ade), без данных самой сессии, а все данные хранятся в файле соответствующим "номеру" сессии.

Добавлено через 58 секунд

Цитата:

Сообщение от ahsinis

md5 - больше нагружает базу данных

это еще смотря что и как реализовано.

boric · 03.09.2010, 02:23

Русская мафия
Только отключите передачу идентификатора сессии через URL (?phpsession=....), пусть они храняться в куках. При передаче через урл этот id сессии может фиксироваться в логах вебсерверов тех сайтов, которые вы посещали, ну и этими сайтами могут перехватываться (см. заголовок refferer).

Anadonam · 03.09.2010, 02:29

Русская мафия, " у тя немного неправильное понятие наверно
- логин и пароль хранить нужно в БД - сессия это сессия (в ней можно хранить самые раззые переменные ) например если логин и пароль совпали - - то в сессии хранишь 1(одын)
- md5 ничего не нагружает! функция как функция (а данные хранятся в текстовом виде)

попробуй почитать книги по php работа с сессиями не обязательно лесть в серию проф - например в серии книг для чайников нормально расписано (на пальцах) - ничего смешного!

помоему ты какт о уже поднимал вопрос про авторизацию? но могу спутать )..

главное, спрашивай не спрашивай - не пися не научишся ! когда будешь писать ты сам поймешь слабые места

ahsinis · 03.09.2010, 08:24

Anadonam, ну во первых, md5 функция, которая делает лишнюю работу, во вторых, как он собрался пароль и логин из md5-хеша извлекать?
Значит будет выборку пользователя по ключу с этим хешем делать, а это дольше чем выборку по целочисленному индексу делать.
Да и вообще md5 это какое-то горе от ума в данном случае.
Единственно, что это может чуть усложнить взлом, если на стороне сервера, кто-то файл сессии перепишет. В этом случае ID пользователя проще узнать чем, md5 хеш, который храниться в базе (например, на форумах ID можно по ссылке на профиль видеть).
Но если файлы сессии могут на стороне сервера менять, надо хостера менять (ну или менять стандартный механизм сессий и хранить их в базе данных)

Последний Герой · 03.09.2010, 11:12

Цитата:

Сообщение от Anadonam

- логин и пароль хранить нужно в БД - сессия это сессия (в ней можно хранить самые раззые переменные ) например если логин и пароль совпали - - то в сессии хранишь 1(одын)

пароль может поменять из другой сессии

Цитата:

Сообщение от Anadonam

- md5 ничего не нагружает! функция как функция (а данные хранятся в текстовом виде)

подсчет md5 это нагрузка

Цитата:

Сообщение от Anadonam

например в серии книг для чайников нормально расписано (на пальцах) - ничего смешного!

это то, что читать нельзя ни в коем случае

Цитата:

Сообщение от ahsinis

Но если файлы сессии могут на стороне сервера менять, надо хостера менять (ну или менять стандартный механизм сессий и хранить их в базе данных)

а авторизацию к базе где хранить, если не в файлах?

Anadonam · 03.09.2010, 12:04

Цитата:

Сообщение от ahsinis

Anadonam, ну во первых, md5 функция, которая делает лишнюю работу, во вторых, как он собрался пароль и логин из md5-хеша извлекать?

его не надо из хеша извлекать - прям в хеше в базе и хранят
md5 односторонняя функция - и незачем вам чт то с помощью нее извлекать - оно для этого не предназначено - никто пароль в сессии не хранит!

для порталов там хрянят тока данные юзера - чтоб писать "Вася ты на сайте здравствуй". и всё

- перехватить да есть способы - а толк ? ведь пароль там не храним...

у вас скорее троян из браузера (из формы) пароль свистнет - нежели кто то перехватывать сесию будет..)

Последний Герой · 03.09.2010, 12:05

Цитата:

Сообщение от Anadonam

файлы сессии по окончании работы уничтожаются

разве?

02.09.2010, 18:03	#1
Русская мафия Мафиози Регистрация: 11.09.2008 Адрес: <H1></H1> Сообщений: 1,174 Вес репутации: 244	сессии делаю авторизацию. вопрос: безопасны ли сессии? можно их подделать? достаточно ли того, что в сессии я буду указывать чисто id юзера? и на сайте проверять этот id, и авторизовывать его под своим ником. или лучше в сессиях хранить логин и пароль(в md5)? и сверять с базой, после чего авторизовывать его под своим ником. __________________ Как дела?

03.09.2010, 02:29	#6
Anadonam Эксперт Регистрация: 29.10.2009 Адрес: Вологда and SSHA Сообщений: 3,897 Вес репутации: 354	Русская мафия, " у тя немного неправильное понятие наверно - логин и пароль хранить нужно в БД - сессия это сессия (в ней можно хранить самые раззые переменные ) например если логин и пароль совпали - - то в сессии хранишь 1(одын) - md5 ничего не нагружает! функция как функция (а данные хранятся в текстовом виде) попробуй почитать книги по php работа с сессиями не обязательно лесть в серию проф - например в серии книг для чайников нормально расписано (на пальцах) - ничего смешного! помоему ты какт о уже поднимал вопрос про авторизацию? но могу спутать ).. главное, спрашивай не спрашивай - не пися не научишся ! когда будешь писать ты сам поймешь слабые места __________________ Новый год, конкурсы, сценки ... Последний раз редактировалось Anadonam; 03.09.2010 в 02:34.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
сессии в URL	shoorikgm	Вопросы от новичков	3	18.07.2010 12:43
убираем сессии в IPB	GhosTama	Установка кода на различные движки	4	18.05.2010 23:48
Форум IPB и сессии	Dromok	Вопросы от новичков	5	14.04.2010 21:39
Сессии	Set13	Вопросы по работе системы	6	01.02.2008 21:55
IPB, сессии и Сапа	Hichkok	Вопросы по работе системы	6	13.10.2007 15:05

02.09.2010, 20:21	#3
ahsinis Мастер Регистрация: 17.03.2008 Сообщений: 638 Вес репутации: 238	на самом деле без разницы что вы храните в сессии, id или md5(). если вас ломанули, то это одно и тоже (md5 - больше нагружает базу данных)

03.09.2010, 02:23	#5
boric Эксперт Регистрация: 05.03.2008 Сообщений: 1,095 Вес репутации: 250	Русская мафия Только отключите передачу идентификатора сессии через URL (?phpsession=....), пусть они храняться в куках. При передаче через урл этот id сессии может фиксироваться в логах вебсерверов тех сайтов, которые вы посещали, ну и этими сайтами могут перехватываться (см. заголовок refferer).

03.09.2010, 08:24	#7
ahsinis Мастер Регистрация: 17.03.2008 Сообщений: 638 Вес репутации: 238	Anadonam, ну во первых, md5 функция, которая делает лишнюю работу, во вторых, как он собрался пароль и логин из md5-хеша извлекать? Значит будет выборку пользователя по ключу с этим хешем делать, а это дольше чем выборку по целочисленному индексу делать. Да и вообще md5 это какое-то горе от ума в данном случае. Единственно, что это может чуть усложнить взлом, если на стороне сервера, кто-то файл сессии перепишет. В этом случае ID пользователя проще узнать чем, md5 хеш, который храниться в базе (например, на форумах ID можно по ссылке на профиль видеть). Но если файлы сессии могут на стороне сервера менять, надо хостера менять (ну или менять стандартный механизм сессий и хранить их в базе данных)