сессии

[Русская мафия]

Цитата:

Сообщение от Atomic

черт его знает, по моему это до дупы, если залезут в папку на хвостинге, то уже никакие хеши не помогут, какбэ

Ну я и хотел узнать где и как хранятся сессии. Я думал может как и куки - в браузере.
Тогда получается, пока сервер не взломали, подменить сессию на другую не получится?

Цитата:

Сообщение от Anadonam

- логин и пароль хранить нужно в БД - сессия это сессия (в ней можно хранить самые раззые переменные ) например если логин и пароль совпали - - то в сессии хранишь 1(одын)

Это я к тому, что если кто то сможет изменить свою сессию, то он легко поставит id юзера или админа в сессию и ему откроются закрытые разделы сайта. А если в сессию вставлять md5 логина и пароля, и на пхп проверять эту пару постоянно, но взломщтк так просто уже не сможет вписать в сессию нужные логин и пароль. Если конечно не взломает БД

Цитата:

Сообщение от boric

Только отключите передачу идентификатора сессии через URL (?phpsession=....), пусть они храняться в куках. При передаче через урл этот id сессии может фиксироваться в логах вебсерверов тех сайтов, которые вы посещали, ну и этими сайтами могут перехватываться (см. заголовок refferer).

А по умолчанию по урл передаются?

Короче, я так понял, что в сессии можно хранить тока id пользователя и не париться? От школьников спасёт? От хакеров нормальных это я потом хочу защиту поднимать, когда изучу всё про инъекции и прочее.

Всем спасибо за ответы. Долго отвечал, т.к. был на море

[Valentyn]

Цитата:

Сообщение от Русская мафия

Ну я и хотел узнать где и как хранятся сессии. Я думал может как и куки - в браузере.
Тогда получается, пока сервер не взломали, подменить сессию на другую не получится?

На сервере, обычно в файловой системе, некоторые CMS хранят в БД (в пхп можно переопределить обработку сессий).

В куках хранится только идентификатор, обычно хеш из 32 символов "0-9a-f". Иногда, если клиент не принимает куки, идентификатор сессии передаётся в URL, но это нафик-нафик, "нет ручек - нету мультиков", не надо этого делать.

Цитата:

Сообщение от Русская мафия

Это я к тому, что если кто то сможет изменить свою сессию, то он легко поставит id юзера или админа в сессию и ему откроются закрытые разделы сайта.

Не сможет. Если кто-то вас ломанул на сервере, то у вас уже проблемы другого уровня.

Конфиги базы в сессии хранить не надо (потому что глупо, но я один раз такое видел, чуть не поседел, пока понял почему скрипт ломится в старую БД, ведь в конфигах её упоминания не осталось _вообще_), а уровень доступа пользователя можно вполне.

[Русская мафия]

Valentyn, понял, спасибо

Отключил сейчас куки в браузере, и сессии перестали работать. Почему так?

В чём причина может быть? В УРЛ имя сессии не появляется
Они ведь должны работать с выключенными куками?

[Anadonam]

смотри код , что там происходит при переходе на страницу - больше то никак и не поймешь

да, не должны а могут работать в выключеными куками- угу

[Русская мафия]

Цитата:

Сообщение от Anadonam

смотри код , что там происходит при переходе на страницу - больше то никак и не поймешь

я изменил уже сообщение. Они вобще не работают. При выключенных куках. Может это гдет в сервере настраивается?

[Valentyn]

Цитата:

Сообщение от Русская мафия

Valentyn, понял, спасибо

Отключил сейчас куки в браузере, и сессии перестали работать. Почему так?

В чём причина может быть? В УРЛ имя сессии не появляется
Они ведь должны работать с выключенными куками?

Если я не путаю, то надо включить вот это:
http://php.net/manual/en/session.con....use-trans-sid

Добавлено через 39 секунд
А вообще рекомендую почитать http://phpfaq.ru/sessions

Там очень классно описано.

[Anadonam]

Русская мафия, ох да, варианты если это писать долго и нудно - проще почитать "Cессии PHP"

Valentyn, +1
...

[boric]

Русская мафия

Цитата:

Отключил сейчас куки в браузере, и сессии перестали работать. Почему так?

В чём причина может быть? В УРЛ имя сессии не появляется
Они ведь должны работать с выключенными куками?

Ну, и хорошо, что идентификатор сессии в урле не появляется (даже при отключенных куках). Не надо вообще номер сессии через урл передавать. В нормальных движках так и сделано - такая возможность там заблокирована нафик.

Смотри, я на своем сайте могу легко отслеживать, с какого урла ты зашел на мой сайт. Т.е. если ты с сайта (где авторизовался) зайдешь на мой сайт, я могу легко увидеть, на каком сайте, саким session_id ты сейчас был.
Я могу этот урл открыть в своем браузере, и я получу на этом сайте все права, которые были у тебя, потому что ВСЕ твои права привязаны к session_id.

Можно конечно ввести дополнительные проверки на этот случай, но оно надо?

[Русская мафия]

Цитата:

Сообщение от boric

Ну, и хорошо, что идентификатор сессии в урле не появляется (даже при отключенных куках). Не надо вообще номер сессии через урл передавать. В нормальных движках так и сделано - такая возможность там заблокирована нафик.

Смотри, я на своем сайте могу легко отслеживать, с какого урла ты зашел на мой сайт. Т.е. если ты с сайта (где авторизовался) зайдешь на мой сайт, я могу легко увидеть, на каком сайте, саким session_id ты сейчас был.
Я могу этот урл открыть в своем браузере, и я получу на этом сайте все права, которые были у тебя, потому что ВСЕ твои права привязаны к session_id.

Можно конечно ввести дополнительные проверки на этот случай, но оно надо?

во, спасибо. теперь понял эту опасность


Valentyn, спасибо за статью. у меня в денвере отключено передача по УРЛ.
А как при помощи ini_set() это указать? вот эти настройки:
session.use_only_cookies = 1
session.use_cookies=1
session.use_trans_sid=0

и я так понимаю на этом простенькая защита кончается? больше ничего не нужно по сессиям?

[Valentyn]

ini_set('session.use_trans_sid','1');

включает сессии в урлах, если они отключены в php.ini