Wpis z mikrobloga

Skopiuj link

 Skopiuj link
wheezy123
wheezy123
  • 1
#php #mysql #programowanie

Zastanawiam się jak najlepiej rozwiązać logowanie i sesje oraz ich zabezpieczenie. Na początku wykonałem to tak, że przy prawidłowym zalogowaniu, w zmiennej sesyjnej przechowywałem id użytkownika z bazy i wszelkie dalsze operacje bazodanowe wykonywałem na podstawie tego id. Jeśli ta zmienna jest pusta, nie ma dostępu do stron przeznaczonych dla zalogowanych. Później poczytałem więcej i wiem jaka to głupota i właśnie dlatego chcę to zrobić jakoś inaczej i od razu pozabezpieczać. Jakieś propozycje? :)
  • 15
  • Odpowiedz

  • Otrzymuj powiadomienia
    o nowych komentarzach
m.....-
m.....-
  • 0
@wheezy123: Ja mam to w podobny sposób zaimplementowane i nie narzekam na brak bezpieczeństwa. :)

http://scr.hu/0rs/69ywv - tabela z sesjami. ID sesji zapisane w ciastku.

Przy ładowaniu sesji sprawdzam mogę sprawdzać ID sesji + np. przeglądarkę / adres IP.

Żeby to złamać ktoś musiałby znać dokładnie sposób w jaki to sprawdzasz. :)
  • Odpowiedz
h3lloya
h3lloya
  • 0
@max1m0-: Pozwól, że przeanalizuję Twój przypadek, bo pierwszy raz to robię. Użytkownik się loguje:

- jeśli hasło się zgadza to do db zapisujesz ip użytkownika, przeglądarkę, id sesji oraz czas tego zdarzenia. Pobierasz z bazy sid przed chwilą zapisanej sesji i zapisujesz do ciastka

- użytkownik przechodzi na kolejną stronę odczytujesz sid z ciastka, pobierasz dane na jego podstawie z bazy i porównujesz z obecnym nadesłanym
  • Odpowiedz
m.....-
m.....-
  • 1
@h3lloya:

sid - to unikalny autoincrement w bazie danych.

- użytkownik przechodzi na kolejną stronę odczytujesz sid z ciastka, pobierasz dane na jego podstawie z bazy i porównujesz z obecnym nadesłanym
  • Odpowiedz
h3lloya
h3lloya
  • 0
@max1m0-: A sessionid nie jest przypadkiem generowany na podstawie czasu serwera (i to razem z mikrosekundami) plus jakaś random liczba? Bo jeśli tak by było to prawdopodobieństwo wystąpienia tego samego sessionid jest tak niewielkie, że można by zaoszczędzić tego dodatkowego zapytania do bazy szczególnie, że porównujemy jeszcze ip, przeglądarkę itd.
  • Odpowiedz

Aktywne Wpisy

_atreides
_atreides
To, że na świecie ludzie na wzajem się torturują, gwałcą, rabują i mordują w najmniejszym stopniu nie oznacza, że Bóg nie istnieje albo że jest zły.

#wiara #religia #takaprawda
_atreides - To, że na świecie ludzie na wzajem się torturują, gwałcą, rabują i morduj...

źródło: The-Wisdom-of-Pain-and-Suffering

Pobierz

52 odpowiedzi

przemek112
przemek112
Mireczki, od ostatniej wymiany oleju zauważyłem że delikatnie go ubyło. Do tej pory lałem shell 10w40, co polecilibyście wlać nieco bardziej gęstego żeby chociaż trochę spowolnić branie oleju? Auto to Seat Leon 2002r. 1.6 16v + gaz. W żadne remonty silnika raczej nie planuje się bawić, bo wartość tego auta jest już znikoma więc po prostu dopóki jeździ to jeździ.

#samochody #motoryzacja

29 odpowiedzi

Aktywne Znaleziska

Trwa maksimum 25. cyklu słonecznego. NASA i NOAA oficjalnie potwierdzają
Trwa maksimum 25. cyklu słonecznego. NASA i NOAA oficjalnie potwierdzają
120
Domy które przekazał Budda należą do firmy Influi
Domy które przekazał Budda należą do firmy Influi
180
Wspaniała współczesna motoryzacja. Silnik o krok od zatarcia. Przebieg 64000km.
Wspaniała współczesna motoryzacja. Silnik o krok od zatarcia. Przebieg 64000km.
149
CD Projekt - wielkie przemeblowanie w Spółce
CD Projekt - wielkie przemeblowanie w Spółce
225

Pokaż 18+

Izrael kraj ponad jakimkolwiek prawem
Izrael kraj ponad jakimkolwiek prawem
171

Popularne tagi