je $_SESSION dosť pezpečné ?

HackForum

je $_SESSION dosť pezpečné ? #
Možem $_SESSION použiť napríklad tak že do neho uložím md5 prihlasovacie meno a heslo pri prihlasovaní a potom na začiatok každej stránky pridám len preverenie že či md5 mena+hesla z databazy sa rovná med5 meno+heslo z $_SESSION a nasledne toho bud zobrazí alebo nezobrazí stránku. Vie teda pristupovať k udajom v $_SESSION niekto iný ako server ? Daju sa nejako odsniffovať ?
(odpovědět)
22psycho | Website | ICQ 300-014-67915.6.2011 14:51
re: je $_SESSION dosť pezpečné ? #
toto je standardni reseni, kazdopadne dost nebezpecne. k session maji pristup vsichni ti, kteri maji s tebou sdileny server (hosting) a mohou tak hodnoty v session souborech upravovat.
(odpovědět)
Emkei | E-mail | Website | PGP15.6.2011 16:59
re: je $_SESSION dosť pezpečné ? #
Pokud nebudes data prenaset sifrovane (https), pak samozrejme sniffing mozny je. Kazdy, kdo se naleza na stejne vnitrni siti, nebo stoji mezi uzivatelem a serverem, muze cookie odposlechnout a pouzit. Mel bys tedy po prihlaseni do hashe session pridat take nejakou cast, ktera je jedinecna pouze pro daneho uzivatele (napr.identifikace prohlizece)

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP15.6.2011 20:04

Zpět
 
 
 

 
BBCode