Armenian Knowledge Base  

Go Back   Armenian Knowledge Base > Technical sections > Webmaster Zone > Web Development
Register

Reply
 
LinkBack Thread Tools
Old 12.05.2005, 19:54   #1
панаехавший
 
Obelix's Avatar
 
Join Date: 06 2003
Location: форпост
Age: 30
Posts: 4,007
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default php/Session Variable Question

Is using session variables for carrying crucial data potentially unsafe, i.e. can the user falsify the session data?
Reply With Quote
Old 12.05.2005, 20:13   #2
ЙЦУКЕН
 
Join Date: 07 2002
Location: 0x68,0x69,0x72, 0x69,0x6e,0x67, 0x20,0x6e,0x6f, 0x77
Age: 47
Posts: 3,118
Downloads: 0
Uploads: 0
Reputation: 5 | 0
Default

хм.... лично я считаю безопасным , правда при условии, что сервере -- выделенный и никто больше н нему не имеет доступа. т.к. в противном случае безопасность определяется тем, может ли другой пользователь на serverside получить доступ к данным .


а сам пользователь -- а что он может изменить в session data без ведома программиста (при правильно написаных скриптах)? для надежности нужно проверять, что в течении сессии не поменялся ip пользователя . чтоб исключить возможность, что кто-то спер у пользователь session id и пытается получить доступ вместо законного пользователя
Reply With Quote
Old 13.05.2005, 09:02   #3
панаехавший
 
Obelix's Avatar
 
Join Date: 06 2003
Location: форпост
Age: 30
Posts: 4,007
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

Net, ya govoryu o drugom. U menya v sessionax derzhitsya user id. Tak kak sessioni peredayutsya cherez cookies, teoreticheski est' varyant podmenyat' etot user id, i zayti pod drugim imenem. Vopros tol'ko v tom, naskol'ko eto praktichno.
Reply With Quote
Old 13.05.2005, 09:52   #4
Борец с бояном
 
Sauron's Avatar
 
Join Date: 06 2003
Location: Yerevan
Age: 38
Posts: 21,482
Downloads: 1
Uploads: 0
Reputation: 65 | 7
Default

ну ты держи не тока юзерайди но и юзернейм с пассвордом
Reply With Quote
Old 13.05.2005, 11:11   #5
Banned
 
Forever Child's Avatar
 
Join Date: 10 2001
Location: ...осень колибри
Age: 37
Posts: 7,487
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

Во время авторизации сделай себе отпечаток пальцев пользователя. Сажем привяжи его в IP (лучше возьми первые две цифры, ато после реконнекта на некоторых dial-up-ах IP сменится и кранты), версию браузера ну и какой-нибудь другой параметр, на свой вкус. Приплюсуй все это друг к другу, добавь к этому совершенно белибердовую строчку, закодируй все это ключом md5 и каждый раз проверяй на совпадение. А насчет сервера Гаспар уже сказал. Если к твои сессионным данным и коду никто доступа не имеет, то безопасно.
Reply With Quote
Old 13.05.2005, 11:36   #6
ЙЦУКЕН
 
Join Date: 07 2002
Location: 0x68,0x69,0x72, 0x69,0x6e,0x67, 0x20,0x6e,0x6f, 0x77
Age: 47
Posts: 3,118
Downloads: 0
Uploads: 0
Reputation: 5 | 0
Default

Quote:
Originally Posted by Obelix
Net, ya govoryu o drugom. U menya v sessionax derzhitsya user id. Tak kak sessioni peredayutsya cherez cookies, teoreticheski est' varyant podmenyat' etot user id, i zayti pod drugim imenem. Vopros tol'ko v tom, naskol'ko eto praktichno.
по тем вопросам, которые вы задаете, я понимаю, что вы не поняли (ц)

тебя сразу послать rtfm или как ? ))))

через печенья передаются исключительно ID сессии - md5 строка. сразу тебе скажу, что легче х.. сломать, чем ее угадать. а все сессия, целиком и полностью, лежит по дефолту (на юниксе) в /tmp/sess_* файлах, в сериалайзнутом виде. и если к этим файлам доступа нету - то и сессия достаточно безопасна.а как предотвратить получения session ID другими - я уже писал.
Reply With Quote
Old 13.05.2005, 14:54   #7
панаехавший
 
Obelix's Avatar
 
Join Date: 06 2003
Location: форпост
Age: 30
Posts: 4,007
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

Quote:
Originally Posted by nm
по тем вопросам, которые вы задаете, я понимаю, что вы не поняли (ц)

тебя сразу послать rtfm или как ? ))))

через печенья передаются исключительно ID сессии - md5 строка. сразу тебе скажу, что легче х.. сломать, чем ее угадать. а все сессия, целиком и полностью, лежит по дефолту (на юниксе) в /tmp/sess_* файлах, в сериалайзнутом виде. и если к этим файлам доступа нету - то и сессия достаточно безопасна.а как предотвратить получения session ID другими - я уже писал.
Ок, в следующий раз лрив чштов посылать на ртфм, сорри и спасибо

Ну это собственно решает все, ниакаких сесс айди майди держать не нужно.
Reply With Quote
Old 13.05.2005, 15:16   #8
ЙЦУКЕН
 
Join Date: 07 2002
Location: 0x68,0x69,0x72, 0x69,0x6e,0x67, 0x20,0x6e,0x6f, 0x77
Age: 47
Posts: 3,118
Downloads: 0
Uploads: 0
Reputation: 5 | 0
Default

завсегда пожалуйста посылать rtfm всегда люблю ))))
Reply With Quote
Old 13.05.2005, 16:12   #9
панаехавший
 
Obelix's Avatar
 
Join Date: 06 2003
Location: форпост
Age: 30
Posts: 4,007
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

Quote:
Originally Posted by nm
завсегда пожалуйста посылать rtfm всегда люблю ))))
этим и я нередко грешу ))))
Reply With Quote
Sponsored Links
Reply

Thread Tools


На правах рекламы:
реклама

All times are GMT. The time now is 03:47.


Powered by vBulletin® Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.