Možem $_SESSION použiť napríklad tak že do neho uložím md5 prihlasovacie meno a heslo pri prihlasovaní a potom na začiatok každej stránky pridám len preverenie že či md5 mena+hesla z databazy sa rovná med5 meno+heslo z $_SESSION a nasledne toho bud zobrazí alebo nezobrazí stránku. Vie teda pristupovať k udajom v $_SESSION niekto iný ako server ? Daju sa nejako odsniffovať ? (odpovědět)
toto je standardni reseni, kazdopadne dost nebezpecne. k session maji pristup vsichni ti, kteri maji s tebou sdileny server (hosting) a mohou tak hodnoty v session souborech upravovat. (odpovědět)
Pokud nebudes data prenaset sifrovane (https), pak samozrejme sniffing mozny je. Kazdy, kdo se naleza na stejne vnitrni siti, nebo stoji mezi uzivatelem a serverem, muze cookie odposlechnout a pouzit. Mel bys tedy po prihlaseni do hashe session pridat take nejakou cast, ktera je jedinecna pouze pro daneho uzivatele (napr.identifikace prohlizece)
---------- Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. (odpovědět)