Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: нужно ли проверять $_SESSION
Покинул форум
Сообщений всего: 913
Дата рег-ции: Янв. 2008
Помог: 6 раз(а)
ну в сессию идет целое число - тут как бы нет проблем.
получается, что выборка сессии идет с сервера и только если злоумышленник сможет зайти в каталог, где хранятся сессии и заменить параметр ID на тот же SQL injection
SAD
Отправлено: 22 Марта, 2011 - 13:32:11
Постоянный участник
Покинул форум
Сообщений всего: 2508
Дата рег-ции: Май 2009 Откуда: Днепропетровск, Украина
Помог: 75 раз(а)
если он зайдет в каталог, то это уже попахивает хреновым хостингом
Champion
Отправлено: 22 Марта, 2011 - 16:08:33
Активный участник
Покинул форум
Сообщений всего: 4350
Дата рег-ции: Авг. 2008 Откуда: Москва
Помог: 57 раз(а)
Если каталог с сессиями кому-то доступен, то, чтобы совсем обезопаситься, надо их фильтровать. А чтобы не дожидаться, когда он станет кому-то доступен и не гадать, можно фильтровать всегда. Я так думаю.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.