11.09.2010, 08:52 | #21 | |||
Мафиози
Регистрация: 11.09.2008
Адрес: <H1></H1>
Сообщений: 1,174
Вес репутации: 244
|
Цитата:
Тогда получается, пока сервер не взломали, подменить сессию на другую не получится? Цитата:
Цитата:
Короче, я так понял, что в сессии можно хранить тока id пользователя и не париться? От школьников спасёт? От хакеров нормальных это я потом хочу защиту поднимать, когда изучу всё про инъекции и прочее. Всем спасибо за ответы. Долго отвечал, т.к. был на море
__________________
|
|||
11.09.2010, 11:39 | #22 | ||
Мастер
|
Цитата:
В куках хранится только идентификатор, обычно хеш из 32 символов "0-9a-f". Иногда, если клиент не принимает куки, идентификатор сессии передаётся в URL, но это нафик-нафик, "нет ручек - нету мультиков", не надо этого делать. Цитата:
Конфиги базы в сессии хранить не надо (потому что глупо, но я один раз такое видел, чуть не поседел, пока понял почему скрипт ломится в старую БД, ведь в конфигах её упоминания не осталось _вообще_), а уровень доступа пользователя можно вполне.
__________________
|
||
11.09.2010, 12:10 | #23 |
Мафиози
Регистрация: 11.09.2008
Адрес: <H1></H1>
Сообщений: 1,174
Вес репутации: 244
|
Valentyn, понял, спасибо
Отключил сейчас куки в браузере, и сессии перестали работать. Почему так? В чём причина может быть? В УРЛ имя сессии не появляется Они ведь должны работать с выключенными куками?
__________________
|
11.09.2010, 12:16 | #24 |
Эксперт
|
смотри код , что там происходит при переходе на страницу - больше то никак и не поймешь
да, не должны а могут работать в выключеными куками- угу
__________________
|
11.09.2010, 12:44 | #25 |
Мафиози
Регистрация: 11.09.2008
Адрес: <H1></H1>
Сообщений: 1,174
Вес репутации: 244
|
я изменил уже сообщение. Они вобще не работают. При выключенных куках. Может это гдет в сервере настраивается?
__________________
|
11.09.2010, 13:24 | #26 | |
Мастер
|
Цитата:
http://php.net/manual/en/session.con....use-trans-sid Добавлено через 39 секунд А вообще рекомендую почитать http://phpfaq.ru/sessions Там очень классно описано.
__________________
Последний раз редактировалось Valentyn; 11.09.2010 в 13:24. Причина: Добавлено сообщение |
|
11.09.2010, 13:32 | #27 |
Эксперт
|
Русская мафия, ох да, варианты если это писать долго и нудно - проще почитать "Cессии PHP"
Valentyn, +1 ...
__________________
|
11.09.2010, 14:09 | #28 | |
Эксперт
Регистрация: 05.03.2008
Сообщений: 1,095
Вес репутации: 250
|
Русская мафия
Цитата:
Смотри, я на своем сайте могу легко отслеживать, с какого урла ты зашел на мой сайт. Т.е. если ты с сайта (где авторизовался) зайдешь на мой сайт, я могу легко увидеть, на каком сайте, саким session_id ты сейчас был. Я могу этот урл открыть в своем браузере, и я получу на этом сайте все права, которые были у тебя, потому что ВСЕ твои права привязаны к session_id. Можно конечно ввести дополнительные проверки на этот случай, но оно надо? |
|
11.09.2010, 14:21 | #29 | |
Мафиози
Регистрация: 11.09.2008
Адрес: <H1></H1>
Сообщений: 1,174
Вес репутации: 244
|
Цитата:
Valentyn, спасибо за статью. у меня в денвере отключено передача по УРЛ. А как при помощи ini_set() это указать? вот эти настройки: session.use_only_cookies = 1 session.use_cookies=1 session.use_trans_sid=0 и я так понимаю на этом простенькая защита кончается? больше ничего не нужно по сессиям?
__________________
|
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
сессии в URL | shoorikgm | Вопросы от новичков | 3 | 18.07.2010 12:43 |
убираем сессии в IPB | GhosTama | Установка кода на различные движки | 4 | 18.05.2010 23:48 |
Форум IPB и сессии | Dromok | Вопросы от новичков | 5 | 14.04.2010 21:39 |
Сессии | Set13 | Вопросы по работе системы | 6 | 01.02.2008 21:55 |
IPB, сессии и Сапа | Hichkok | Вопросы по работе системы | 6 | 13.10.2007 15:05 |
Часовой пояс GMT +3, время: 01:26.