Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: подделка $_SESSION

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
Поиск в теме | Версия для печати
Itan
Отправлено: 04 Октября, 2011 - 14:35:58
Post Id


Частый гость


Покинул форум
Сообщений всего: 199
Дата рег-ции: Окт. 2008  


Помог: 0 раз(а)
Здравствуйте! Может ли юзер как-то подделать сессии? Может вопрос глупый, т.к. сессии хранятся на сервере, но все равно, есть вероятность? Я где-то слышал, что можно подделать идентификатор сессии, но я его не использую.

Просто на сайте суть такая: юзер может редактировать свои данные. При аутентификации, в сессию записывается его id. Просто если юзер как-то подставит в сессию чужой id, то сможет редактировать чужие данные, что недопустимо. В данном случае, хранить id в сессии безопасно?
 
 Top
OrmaJever Модератор
Отправлено: 04 Октября, 2011 - 14:44:15
Post Id



Активный участник


Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010  
Откуда: Чернигов


Помог: 299 раз(а)
Itan пишет:
но все равно, есть вероятность?

конешно есть, id сесии состоит из 32 символов a-z 0-9, и того 32^35, в итоге число слишком велико Растерялся
Подругому подменить id не выдет (ну кроме как взлом сервера)


-----
Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
 
 Top
LIME
Отправлено: 04 Октября, 2011 - 14:45:34
Post Id


Активный участник


Покинул форум
Сообщений всего: 10732
Дата рег-ции: Нояб. 2010  


Помог: 322 раз(а)
Itan пишет:
Я где-то слышал, что можно подделать идентификатор сессии, но я его не использую.
используете неявно ...вызывая session_start()
Itan пишет:
В данном случае, хранить id в сессии безопасно?
безопасно
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« HTTP и PHP »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB