Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: А насколько безопасно хранить сессии у хостера

 PHP.SU

Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
Алексей_М
Отправлено: 23 Июля, 2016 - 05:40:27
Post Id


Гость


Покинул форум
Сообщений всего: 81
Дата рег-ции: Дек. 2012  


Помог: 0 раз(а)




Если будем хранить не тут, прописывая это в своём скрипте:
session_save_path(dirname(__FILE__).'/директория_хранения_сессий/');

а за комментим эту строку - тогда сессии тоже работают, но тогда где это всё хранится - не понятно.
 
 Top
Мелкий Супермодератор
Отправлено: 23 Июля, 2016 - 07:59:02
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)




Где хранятся - см. почти одноимённую настройку session.save_path
Безопасно ли - что именно имеется в виду?


-----
PostgreSQL DBA
 
 Top
Алексей_М
Отправлено: 23 Июля, 2016 - 15:41:44
Post Id


Гость


Покинул форум
Сообщений всего: 81
Дата рег-ции: Дек. 2012  


Помог: 0 раз(а)




Мелкий пишет:
Безопасно ли - что именно имеется в виду?


если сохраняю сессию к себе, как
session_save_path(dirname(__FILE__).'/session/');

то при этом сессии почему-то теряются, то работают, то нет, странно...
и мы оказываемся не авторизованы.

Поэтому убрал явный путь указания директории для сессий, и в таком случае они хранятся у хостера где-то там в директории, которая если не ошибаюсь периодически зачищается, но какое-то время сессии в директории всё равно лежат.
Так всё работает хорошо.
Но когда указывал явный путь для хранения сессий (выше который), внутри файла сессии увидел настройки и пароли в явном виде, поэтому вопрос возник о безопасности.
 
 Top
caballero
Отправлено: 23 Июля, 2016 - 20:51:28
Post Id


Активный участник


Покинул форум
Сообщений всего: 5998
Дата рег-ции: Сент. 2011  
Откуда: Харьков


Помог: 126 раз(а)




нет никаких проблем с безопасность в сессиях


-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore
 
 Top
Fart
Отправлено: 25 Июля, 2016 - 07:31:04
Post Id



Посетитель


Покинул форум
Сообщений всего: 324
Дата рег-ции: Июль 2016  


Помог: 10 раз(а)




ты только меняешь дирек, но воспользовавшись сессией все останется по прежнему. хоть и сессия считается защищенной, но на самом деле она является одной из уязвимых мест.

1. дешевый хостинг без выделенного айпи
2. проблема в коде скрипта
3. доверие самого программиста, что данные из сессии безопасны.
4. и прочее

допустив ошибку в коде, не проверив данные и записав их, легко их использовать в запрос к БД (а там SQL-инъекции), XSS-атаки и прочая чушь.

не будешь соблюдать безопасность и писать второсортный код... рано или поздно твой сайт поменяет владельца!!! Удачи!!!

(Отредактировано автором: 25 Июля, 2016 - 07:35:21)

 
 Top
Алексей_М
Отправлено: 25 Июля, 2016 - 15:07:17
Post Id


Гость


Покинул форум
Сообщений всего: 81
Дата рег-ции: Дек. 2012  


Помог: 0 раз(а)




Fart спасибо! поблагодарил)

Цитата:
ты только меняешь дирек


у меня суть вопроса немного была - а на сколько безопасно хранить в директории хостера по умолчанию которая.
Потому что в своей директории работает через раз, постоянно скидывает авторизацию, почему пока не понял.
 
 Top
Fart
Отправлено: 26 Июля, 2016 - 03:15:19
Post Id



Посетитель


Покинул форум
Сообщений всего: 324
Дата рег-ции: Июль 2016  


Помог: 10 раз(а)




Алексей_М пишет:
Fart спасибо! поблагодарил)

Цитата:
ты только меняешь дирек


у меня суть вопроса немного была - а на сколько безопасно хранить в директории хостера по умолчанию которая.
Потому что в своей директории работает через раз, постоянно скидывает авторизацию, почему пока не понял.


все зависит от провайдера... если не ошибаюсь ( а принцип работы сервера админы выбирают свой сами ), то обычно это общая папка. меняя дирек сессии не обезопасишь данные от взлома. дело все в ip

если интересует вопрос о работе сессии выложи код... может дело в коде

(Отредактировано автором: 26 Июля, 2016 - 03:16:12)

 
 Top
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« HTTP и PHP »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
 



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB