| | |
| Stránka: 1 z 1
| [ Príspevkov: 23 ] | |
Autor | Správa |
---|
Registrovaný: 22.05.10 Prihlásený: 07.10.20 Príspevky: 22 Témy: 9 | Napísal wolker: 22.02.2011 8:30 | |
|
PRi logine uložím meno do $_Sesson['meno'] a $_session['logged_in'] sa nastaví na true overujem to cez retazec ktorý sa pri logine vygeneruje pre každého užívateľa.
Ale potrebujem tie session nejak ochrániť lebo kamoš sa dokázal lognúť na mna ako na to?
|
|
Registrovaný: 26.12.06 Prihlásený: 16.11.19 Príspevky: 3971 Témy: 181 Bydlisko: Nitra / Bra... | Napísal emer: 22.02.2011 10:10 | |
|
chybu mozes mat aj niekde inde
_________________ Sorry za prelkepy |
|
Registrovaný: 20.10.08 Prihlásený: 21.06.22 Príspevky: 2602 Témy: 31 Bydlisko: Bratislava |
v prvom rade prestan pouzivat PHP session a bud siahni po nejakom hotovom rieseni, ktore spolupracuje aj s databazou, alebo si nakod svoje vlastne (zabere ti to aj s dobrym navrhom 2 hodinky).
_________________ Desktop: iMac 21" CPU: i5 2.7GHz RAM: 4 GB DDR3 1333MHz GPU: AMD Radeon HD 6770M 512MB RAM HDD: 1TB 7200 rpm OS: Mac OS X Lion Desktop: CPU: AMD Phenom II x4 BE 955 3.2@3.6GHz 1.35@1.30V CPU Cooler: Gelid Tranquillo rev.2 MB: Gigabyte 880GM-UD2H RAM: 2x2 GB Kingston 1333MHz GPU: MSI HD 6850 Cyclone 1GB PSU: Seasonic S12II-620 620W HDD: Seagate Barracuda 7200.12 1TB Case: CoolerMaster Elite 333 LCD: 22" LG flatron W2261VP Keyboard: Microsoft Comfort Curve 2000 Mouse: Microsoft Wireless Mobile Mouse 4000 OS: Windows 8 Notebook: Macbook Pro 13" CPU: i5 2.4GHz RAM: 4 GB DDR3 1333MHz GPU: Intel HD Graphics 3000 384MB RAM HDD: 500GB 5400 rpm OS: Mac OS X Lion Tablet: iPad 2 64GB 3G Phone: HTC Desire S Phone: iPhone 8GB |
|
Registrovaný: 26.12.06 Prihlásený: 16.11.19 Príspevky: 3971 Témy: 181 Bydlisko: Nitra / Bra... | Napísal emer: 22.02.2011 12:31 | |
|
tommy, mas nejake linky na hotove riesenia?
_________________ Sorry za prelkepy |
|
Registrovaný: 20.10.08 Prihlásený: 21.06.22 Príspevky: 2602 Témy: 31 Bydlisko: Bratislava |
Nemam, ja pouzivam codeigniter a tam uz session je. Len som si ju trochu prisposobil..
Ale inak je toho plny google, treba len vyskusat co ti bude vyhovovat
_________________ Desktop: iMac 21" CPU: i5 2.7GHz RAM: 4 GB DDR3 1333MHz GPU: AMD Radeon HD 6770M 512MB RAM HDD: 1TB 7200 rpm OS: Mac OS X Lion Desktop: CPU: AMD Phenom II x4 BE 955 3.2@3.6GHz 1.35@1.30V CPU Cooler: Gelid Tranquillo rev.2 MB: Gigabyte 880GM-UD2H RAM: 2x2 GB Kingston 1333MHz GPU: MSI HD 6850 Cyclone 1GB PSU: Seasonic S12II-620 620W HDD: Seagate Barracuda 7200.12 1TB Case: CoolerMaster Elite 333 LCD: 22" LG flatron W2261VP Keyboard: Microsoft Comfort Curve 2000 Mouse: Microsoft Wireless Mobile Mouse 4000 OS: Windows 8 Notebook: Macbook Pro 13" CPU: i5 2.4GHz RAM: 4 GB DDR3 1333MHz GPU: Intel HD Graphics 3000 384MB RAM HDD: 500GB 5400 rpm OS: Mac OS X Lion Tablet: iPad 2 64GB 3G Phone: HTC Desire S Phone: iPhone 8GB |
|
Registrovaný: 22.05.10 Prihlásený: 07.10.20 Príspevky: 22 Témy: 9 | Napísal autor témy wolker: 22.02.2011 16:57 | |
|
ja to používam aj z db že ak si lognutý tak je to v db že kto je online. ale meno užívateľké si zapíšem do session
|
|
Registrovaný: 27.11.08 Prihlásený: 30.01.20 Príspevky: 630 Témy: 98 Bydlisko: Veľký Krtíš... | Napísal Draex: 22.02.2011 18:30 | |
|
TommyHot píše: v prvom rade prestan pouzivat PHP session a bud siahni po nejakom hotovom rieseni, ktore spolupracuje aj s databazou, alebo si nakod svoje vlastne (zabere ti to aj s dobrym navrhom 2 hodinky).
inými slovami:
nepoužívaj systém sessions, ktorý je natívne v PHP
naprogramuj si vlastný systém pre správu sessions pomocou funkcie session_set_save_handler() alebo si nájdi hotové riešenie
tip: komentáre pri vyššie uvedenej funkcií
|
|
Registrovaný: 11.08.07 Príspevky: 4088 Témy: 34 Bydlisko: Brno | Napísal Ďuri: 22.02.2011 18:41 | |
|
TommyHot, Draex
Mozete mi zhrnut, ake nevyhody ma pouzitie PHP sessions oproti vlastnemu systemu?
|
|
Registrovaný: 05.09.09 Príspevky: 1141 Témy: 127 Bydlisko: Lehota pod ... | Napísal camo: 22.02.2011 19:43 | |
|
Ja sa pridávam ku Ďurimu a dúfam, že to nejako objasníte! Lebo ak ti niekto session ID neukradne cez XSS, alebo cez odpočúvanie paketov, tak ako sa ku nej môže ešte dostať??? A tak teda, keď ošetrím XSS, tak to riziko odpočutia paketov je minimálne a prijateľné...
Ale môžete ma opraviť ak sa mýlim. Preto sa pýtam.
|
|
Registrovaný: 27.11.08 Prihlásený: 30.01.20 Príspevky: 630 Témy: 98 Bydlisko: Veľký Krtíš... | Napísal Draex: 22.02.2011 19:54 | |
|
iba som prekladal tommyho post
dávnejšie som čítal niečo o tom, že pokiaľ má útočník rovnaký hosting so zlým zabezpečením ako ty, môže ti ukradnúť zoznam všetkých sessions - pomocou funkcii ako system() by to nebolo možné?
|
|
Registrovaný: 05.09.09 Príspevky: 1141 Témy: 127 Bydlisko: Lehota pod ... | Napísal camo: 22.02.2011 20:19 | |
|
Tomihot skôr napísal, že session používa spolu s DB. A na blbom hostingu sa môžu diať veci o ktorých sa nám ani nesníva...
Ale zaujímalo by ma, či sa dá nejako skutočne bezpečne overiť, či bolo session ID ukradnuté?
Stačí nejaký link, kde by nepísali kadejaké omáčky a kraviny.
|
|
Registrovaný: 20.10.08 Prihlásený: 21.06.22 Príspevky: 2602 Témy: 31 Bydlisko: Bratislava |
Duri no pokial nie si na shared hostingu, alebo sa na shared hosting dokazes spolahnut, tak je PHP session relativne v poriadku i ked stale mozes skusit session hijacking, ci session fixation.
A potom uz je to hlavne na negramotnych programatoroch, ktori nepoznaju session_regenerate_id(), http only cookies atd. Preto som za uz hotove riesenie s pouzitim databazy. Sice tam je zas problem SQL injection, ale stale sa radsej priklanam k DB session.
_________________ Desktop: iMac 21" CPU: i5 2.7GHz RAM: 4 GB DDR3 1333MHz GPU: AMD Radeon HD 6770M 512MB RAM HDD: 1TB 7200 rpm OS: Mac OS X Lion Desktop: CPU: AMD Phenom II x4 BE 955 3.2@3.6GHz 1.35@1.30V CPU Cooler: Gelid Tranquillo rev.2 MB: Gigabyte 880GM-UD2H RAM: 2x2 GB Kingston 1333MHz GPU: MSI HD 6850 Cyclone 1GB PSU: Seasonic S12II-620 620W HDD: Seagate Barracuda 7200.12 1TB Case: CoolerMaster Elite 333 LCD: 22" LG flatron W2261VP Keyboard: Microsoft Comfort Curve 2000 Mouse: Microsoft Wireless Mobile Mouse 4000 OS: Windows 8 Notebook: Macbook Pro 13" CPU: i5 2.4GHz RAM: 4 GB DDR3 1333MHz GPU: Intel HD Graphics 3000 384MB RAM HDD: 500GB 5400 rpm OS: Mac OS X Lion Tablet: iPad 2 64GB 3G Phone: HTC Desire S Phone: iPhone 8GB |
|
Registrovaný: 27.11.08 Prihlásený: 30.01.20 Príspevky: 630 Témy: 98 Bydlisko: Veľký Krtíš... | Napísal Draex: 22.02.2011 20:44 | |
|
to "bezpečne" je vždy relatívne
môžeš napr. kontrolovať browser, verziu flashu, os, lokalitu, ISP, druhé session_id a pod. Isté riziko je tu stále
sessions v db by mali byt navyše rýchlejšie
|
|
Registrovaný: 05.09.09 Príspevky: 1141 Témy: 127 Bydlisko: Lehota pod ... | Napísal camo: 22.02.2011 21:03 | |
|
Draex:
No ak ti niekto dokáže ukradnúť session Id, tak k tomu ostatnému má prístup tiež. Vychádza mi, že XSS jednoducho treba mať ošetrené a DB ťa pred tým nezachráni. Ešte session_regenerate_id() zabezpečí, že človek relatívne rýchlo príde na to, že sa niečo deje (len či už nebude neskoro).
Ale to ako môže byť session v DB rýchlejšie to fakt nechápem...
TommyHot
Priznám sa, že o http only cookies som ešte nepočul/zabudol. Ten link by bodol. Aj ku tomu ,,atď.,,.
|
|
Registrovaný: 20.10.08 Prihlásený: 21.06.22 Príspevky: 2602 Témy: 31 Bydlisko: Bratislava |
camo pod DB session nemam na mysli PHP session + DB.
Atd malo byt napriklad, ze si vytvoris nejaky token a ten posielas s kazdym requestom. O http cookies si mozes vygooglit tony clankov.. Hned prvy odkaz http://www.codinghorror.com/blog/2008/0 ... ponly.html
_________________ Desktop: iMac 21" CPU: i5 2.7GHz RAM: 4 GB DDR3 1333MHz GPU: AMD Radeon HD 6770M 512MB RAM HDD: 1TB 7200 rpm OS: Mac OS X Lion Desktop: CPU: AMD Phenom II x4 BE 955 3.2@3.6GHz 1.35@1.30V CPU Cooler: Gelid Tranquillo rev.2 MB: Gigabyte 880GM-UD2H RAM: 2x2 GB Kingston 1333MHz GPU: MSI HD 6850 Cyclone 1GB PSU: Seasonic S12II-620 620W HDD: Seagate Barracuda 7200.12 1TB Case: CoolerMaster Elite 333 LCD: 22" LG flatron W2261VP Keyboard: Microsoft Comfort Curve 2000 Mouse: Microsoft Wireless Mobile Mouse 4000 OS: Windows 8 Notebook: Macbook Pro 13" CPU: i5 2.4GHz RAM: 4 GB DDR3 1333MHz GPU: Intel HD Graphics 3000 384MB RAM HDD: 500GB 5400 rpm OS: Mac OS X Lion Tablet: iPad 2 64GB 3G Phone: HTC Desire S Phone: iPhone 8GB |
|
Registrovaný: 27.11.08 Prihlásený: 30.01.20 Príspevky: 630 Témy: 98 Bydlisko: Veľký Krtíš... | Napísal Draex: 22.02.2011 22:01 | |
|
camo: prístup ma ale je šanca, že to po niekoľkých neúspešných pokusoch vzdá
a k ISP, lokalite aj ked ma prístup, napodobnit ich bude ťažké
K rýchlosti: serializácia a unserializácia sú vraj strašne pomalé
|
|
Registrovaný: 05.09.09 Príspevky: 1141 Témy: 127 Bydlisko: Lehota pod ... | Napísal camo: 23.02.2011 9:48 | |
|
TommyHot:
No a ten token je pred útočníkom neviditeľný? Ten Google naozaj vypľuje tony článkov o tom som ani nepochyboval. Ja som chcel tie bez omáčok a prípadných kravín(ten tvoj som ešte nečítal).
Draex:
No čítal som, že ISP môže byť aj dynamická, takže ako môžeš toto použiť? To ,,vraj strašne pomalé,, by som si ešte prosil overiť od niekoho, kto do toho lepšie vidí...
|
|
Registrovaný: 27.11.08 Prihlásený: 30.01.20 Príspevky: 630 Témy: 98 Bydlisko: Veľký Krtíš... | Napísal Draex: 23.02.2011 10:07 | |
|
ISP môže byt dynamické? počas session imho nebudes meniť poskytovateľa internetu.
O rýchlosti som to čítal v knihe PHP6: Programujeme profesionálne.
|
|
Registrovaný: 26.12.06 Prihlásený: 16.11.19 Príspevky: 3971 Témy: 181 Bydlisko: Nitra / Bra... | Napísal emer: 23.02.2011 10:09 | |
|
zrejme tym myslel, ze niektori ISP poskytuju dynamicku IP. a chcel to spojit zrejme s neexpirujucimi relaciami a kontrolou usera podla ip
_________________ Sorry za prelkepy |
|
Registrovaný: 27.11.08 Prihlásený: 30.01.20 Príspevky: 630 Témy: 98 Bydlisko: Veľký Krtíš... | Napísal Draex: 23.02.2011 10:27 | |
|
Pre to som nespomenul kontrolu IP - niektorí ISP vraj môžu zmeniť IP aj počas načítavania stránky. Expiráciu relácíii si môžeš nastaviť/naprogramovať.
|
|
Registrovaný: 05.09.09 Príspevky: 1141 Témy: 127 Bydlisko: Lehota pod ... | Napísal camo: 23.02.2011 12:06 | |
|
Emer:
Áno myslel som to presne tak.
Trochu sa mi poplietli pojmy s dojmami...
No a overiť poskytovateľa pripojenia je aká záruka?
|
|
Registrovaný: 22.02.09 Prihlásený: 30.09.13 Príspevky: 113 Témy: 41 | Napísal Bokos: 23.02.2011 17:55 | |
|
Zdravím,
chcem sa opýtať či je $_SESSION a $_COOKIES dostatočne bezpečne =).
Videl som tu na fóre niečo o tom že vlastný systém session. Ide totiž o to, že ja ukladám LOGIN NICK a LOGED v session... Niečo ako $_SESSION['LOGGED']. Myslím že ste pocohpili. Tak ja len či je to dostatočne bezpečné, alebo sa niekto môže nalogovať aj ked nie je prihlásený. V opačnom prípade poprosím nejaký návodík ako sa tomu vyvarovať, alebo ak vy viete niečo o tom "=) a aj čo mám robiť.
|
|
Registrovaný: 13.11.07 Prihlásený: 20.08.16 Príspevky: 1702 Témy: 0 | Napísal chrono: 23.02.2011 18:31 | |
|
AK sa niekto môže nalogovať aj keď nie je prihlásený, tak je úplne jedno, či sa použije "normálny" spôsob ukladania cookies, alebo si urobíš vlastný s databázou (pri DB navyše môžeš mať problém s nedostatočne ošetrenými dátami, ktoré budeš do tej DB vkladať).
|
|
| Stránka: 1 z 1
| [ Príspevkov: 23 ] | |
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| Aka ochrana zariadenia (bleskoistka, prep. ochrana) v Siete | 2 | 478 | 06.10.2012 18:38 peto007 | | spam ochrana, sql ochrana v PHP, ASP | 14 | 849 | 08.01.2011 23:56 Feko | | sessions v PHP, ASP | 11 | 654 | 26.02.2011 21:25 venom2 | | Sessions help v PHP, ASP | 3 | 420 | 12.07.2007 11:14 TECHNODROME | | sessions error v PHP, ASP | 8 | 589 | 14.11.2008 18:39 Slappy | | Sessions chyba??? v PHP, ASP | 3 | 391 | 05.11.2007 19:10 pepek92 | | Dvojrozmerne sessions v PHP, ASP | 11 | 604 | 09.01.2009 22:20 jaji | | Problém so SESSIONs v PHP, ASP | 3 | 798 | 07.01.2012 21:41 hal_sk | | sessions-nejde odstranit [ Choď na stránku: 1, 2 ] v PHP, ASP | 34 | 1603 | 01.10.2008 21:10 dadmtb | | Problém so sessions v PHP, ASP | 1 | 327 | 25.12.2011 22:00 chrono | | problem so sessions v PHP, ASP | 3 | 731 | 28.12.2006 18:19 programator | | PHP a SESSIONS v PHP, ASP | 2 | 440 | 28.10.2007 14:22 tatysp | | Pomoc so SESSIONS v PHP, ASP | 7 | 470 | 11.10.2007 19:33 pepek92 | | Remove Duplicate Sessions v Redakčné systémy | 0 | 533 | 14.10.2006 14:49 JanoF | | alternativne odkladanie sessions v PHP, ASP | 1 | 457 | 24.10.2007 16:13 mondzo | | [VYRIESENE] Problem so sessions v PHP, ASP | 2 | 386 | 28.02.2009 16:32 bruno.b |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|