Skocz do zawartości

Mechanizm logowania-sesja.

Tomahawk

Przez Tomahawk
w PHP i MySQL i inne

Rekomendowane odpowiedzi

Tomahawk Newbie

Tomahawk

Opublikowano
  • Autor
Opublikowano

Ok.

Czyli zostawmy na razie sesje w mysql.

Co powiecie na taki mechanizm gdy:

-id sesji jest przekazywane nie za pomocą PHPSESSID w adresie a tylko za pomocą ciastek (mamy niby z głowy session fixation)

-dostęp do katalogu z plikami sesji jest zabroniony forbidden (niby z głowy session injection)

-wszelkie dane z Get'ów są filtrowane (niby z głowy CSRF)

I co taka sesja jest bezpieczna? Do czego można by się jeszcze "dowalić"? I co zrobić żeby jeszcze lepiej zabezpieczyć? O ile na niektórych serwerach mamy w public_html katalog tmp z sesjami który niby jest zabezpieczony przed czytaniem to na innych serwerach te sesje są gdzieś indziej i nie wiadomo czy bezpieczne. Jak to zmienić?

akwarystyka,akwarium
Odnośnik do komentarza
Udostępnij na innych stronach
Bełdzio Newbie

Bełdzio

Opublikowano
Opublikowano

teoretycznie tak :-) jak nie spieprzysz czegoś podczas pisania to będzie gut :)

a jesli chodzi o katalog to https://pl.php.net/manual/pl/function.session-save-path.php

Let's Rock! - Agencja interaktywna dla wymagających

O tworzeniu (bezpiecznych) aplikacji internetowych

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności