Здравствуйте!
У меня такая вот проблема! Опишу все по пунктам:
1) Есть сайт на php+mysql
2) там авторизируются люди вводя логин и пароль
3) при удачной авторизации создается сессия uid , и в ней хранится айди бзера под которым авторизировались
4) в дальнейшем в скриптах проверяется наличие этой сессии, если её нет то выкидывает на стартовую, если есть то все нормально
Вопрос:
Я понимаю что это не очень безопасно, и как защититься сильнее?
Возможна ли подмена сессии? Да я знаю что она хранится на сервере, но все же...
P.S. слышал метод защиты такой: при авторизации в отдельную ячейку в бд кидается хэшкод который состоит из первых 3 бита айпи+случайно генерированный md5 текст...и потом этот текст помещается в сессию и проверяется с тем что в БД... Можно так обезопаситься?
|