PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Безопасная работа с сессиями

Форумы портала PHP.SU » PHP » Программирование на PHP » HTTP и PHP (Модераторы: OrmaJever, Саныч)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

dropoff	Отправлено: 22 Мая, 2011 - 05:42:08
Посетитель Покинул форум Сообщений всего: 310 Дата рег-ции: Дек. 2010 Помог: 0 раз(а)	Всем привет. Не прошу написать за меня! Просто не могу найти нормальное решение. Может есть у кого готовый класс или функции... для работы с сессиями? А именно: Привязка ip к сессии Привязка браузера к сессии Посыл в куки не id сессии а какого-то ключа, по которому определять уже вышенаписанное ... Ну в таком духе что-то. А то легко спереть куку сейчас и подставив себе быть админом) если сессия админа жива. Я просто не могу понять как лучше сделать, чтобы было безопасно.

molchun201	Отправлено: 22 Мая, 2011 - 10:34:27
Посетитель Покинул форум Сообщений всего: 295 Дата рег-ции: Февр. 2011 Откуда: Менеск Помог: 5 раз(а)	dropoff пишет: Привязка ip к сессии dropoff пишет: Привязка браузера к сессии Вы понимаете что такое сессии? (Добавление) PS Купите пива и орешки, затем под всё это дело неплохо зайдёт вот эта статья: http://www.php.su/articles/?cat=examples&page=070 (Отредактировано автором: 22 Мая, 2011 - 10:37:20) ----- Обрамляйте код тегами и читайте

dropoff	Отправлено: 22 Мая, 2011 - 10:38:25
Посетитель Покинул форум Сообщений всего: 310 Дата рег-ции: Дек. 2010 Помог: 0 раз(а)	А что не понятного написано?

molchun201	Отправлено: 22 Мая, 2011 - 10:39:46
Посетитель Покинул форум Сообщений всего: 295 Дата рег-ции: Февр. 2011 Откуда: Менеск Помог: 5 раз(а)	Написано то понятно, просто если знать что такое сессии и как они работают, то этот вопрос покажется крайне некорректным и в корне неверным. ----- Обрамляйте код тегами и читайте

Champion	Отправлено: 22 Мая, 2011 - 10:58:32
Активный участник Покинул форум Сообщений всего: 4350 Дата рег-ции: Авг. 2008 Откуда: Москва Помог: 57 раз(а)	Ну вероятность того, что сопрут сессионную куку очень небольшая. Но если хочется проверять по ip и браузеру, то это конечно сделать можно: PHP: скопировать код в буфер обмена if ($_SESSION[ip] != $_SERVER['REMOTE_ADDR'] \|\| остально) { echo "хм, только что эта сессия работала с другого ip / под другим браузером"; редирект на логин } else { $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'] $_SESSION['fw'] = $_SERVER['HTTP_X_FORWARDED_FOR'] или как он там пишется $_SESSION['ua'] = $_SERVER['HTTP_USER_AGENT'] }

dropoff	Отправлено: 22 Мая, 2011 - 11:03:12
Посетитель Покинул форум Сообщений всего: 310 Дата рег-ции: Дек. 2010 Помог: 0 раз(а)	Champion, спасибо! Я про это и спрашивал. Просто думал может у кого есть готовые решения(класс или функция) по более сложной привязки юзера к сессии... Потому как знаний у меня пока мало в этой области и не уверен, что сделал бы правильно. Еще раз спасибо.

xhugo	Отправлено: 22 Мая, 2011 - 11:06:23
Посетитель Покинул форум Сообщений всего: 357 Дата рег-ции: Дек. 2010 Помог: 1 раз(а)	PHP: скопировать код в буфер обмена А то легко спереть куку сейчас и подставив себе быть админом) это если на сайте присутствует XSS.

dropoff	Отправлено: 22 Мая, 2011 - 11:09:43
Посетитель Покинул форум Сообщений всего: 310 Дата рег-ции: Дек. 2010 Помог: 0 раз(а)	xhugo, лишний раз как-то обезопасить не помешает) Я не параноик) Просто сам попробовал подставить сессию админа на другом компе и зашел с его правами. И как-то беспокойно стало, что так легко можно права получить. Хотя понимаю, что это будет работать пока жива сессия...

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« HTTP и PHP »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.