Дапусти у меня идет проверка на авторизацию
if(isset($_SESSION['id']))
{
echo "<h1 align='center'>Вы уже авторизованы!!!</h1>";
include 'footer.php';
exit();
}
может ли пользователь сам как-то изменить сесию????
Спустя 14 минут, 19 секунд (10.07.2012 - 12:33) DarkLynx написал(а):
Изменить? Не слышал, но думаю нет ничего невозможного, просто люди еще не научились, ну или научились, я не знаю.
Но то что сторонний человек может зайти под Вашей сессией - факт!
Но то что сторонний человек может зайти под Вашей сессией - факт!
Спустя 2 минуты, 16 секунд (10.07.2012 - 12:36) 12345 написал(а):
| Цитата |
| сторонний человек может зайти под Вашей сессией - факт! |
можно поподробнее? Как?
Спустя 25 минут, 49 секунд (10.07.2012 - 13:01) DarkLynx написал(а):
В адресной строке передать ID сессии и усё.
Ну это естественно если сессия не привязана к пользователю, например по его IP..
Ну это естественно если сессия не привязана к пользователю, например по его IP..
Спустя 13 минут, 37 секунд (10.07.2012 - 13:15) 12345 написал(а):
покажи пример как передать в адресной строке
Спустя 11 минут, 7 секунд (10.07.2012 - 13:26) 12345 написал(а):
ну к айпи привязывать ID не темаю\.
Думаю сделать так
при удачной авторизации записывать в сесию такую строку:
а в БД
а в проверке авторизации подключатся к $_SESSION['id'] и сравнивать эти строки
Нормально так будет? Взломать будет не возможно?
Думаю сделать так
при удачной авторизации записывать в сесию такую строку:
$_SESSION['id']=rand(1,99999).$_SERVER['REMOTE_ADDR'];
а в БД
md5(md5(rand(1,99999).$_SERVER['REMOTE_ADDR']))
а в проверке авторизации подключатся к $_SESSION['id'] и сравнивать эти строки
Нормально так будет? Взломать будет не возможно?
Спустя 37 минут, 18 секунд (10.07.2012 - 14:04) inpost написал(а):
Сессия лежит на сервере, доступа к этому файлу у людей нет. Поэтому и сессию менять никто не сможет.
Спустя 59 минут, 9 секунд (10.07.2012 - 15:03) 12345 написал(а):
тоесть можно не опасатся, что ее могут изменить??? и нет смысла привязывать ее к IP ?
Спустя 2 минуты, 10 секунд (10.07.2012 - 15:05) vital написал(а):
| Цитата (inpost @ 10.07.2012 - 13:04) |
| Сессия лежит на сервере, доступа к этому файлу у людей нет. Поэтому и сессию менять никто не сможет. |
можно спереть активные куки с сессией.
Спустя 4 минуты, 22 секунды (10.07.2012 - 15:09) inpost написал(а):
vital
Сессию сопрут? О-да. Вот в сессии у меня пароль записан, как человек украдёт её, что узнает мой пароль? Ну-ну, жду ответа, мастер!
Может ты имел ввиду идентификатор сессии через куку, но это совсем иное дело
Сессию сопрут? О-да. Вот в сессии у меня пароль записан, как человек украдёт её, что узнает мой пароль? Ну-ну, жду ответа, мастер!
Может ты имел ввиду идентификатор сессии через куку, но это совсем иное дело
Спустя 54 секунды (10.07.2012 - 15:10) 12345 написал(а):
ну так надо привязывать сесию к ip для безопасности или как???
Спустя 12 минут, 43 секунды (10.07.2012 - 15:23) inpost написал(а):
12345
да, и браузер тоже для надежности. И авторизировать при помощи мобилки, вообще 100% эффективность
да, и браузер тоже для надежности. И авторизировать при помощи мобилки, вообще 100% эффективность
Спустя 5 минут, 54 секунды (10.07.2012 - 15:29) 12345 написал(а):
думаю сделать так:
записываю в бд строку
ну а потом подключаюсь к бд по сесии и сравниваю
записываю в бд строку
mysql_real_escape_string(md5(md5($_SERVER['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT'])))
ну а потом подключаюсь к бд по сесии и сравниваю
Спустя 4 минуты, 29 секунд (10.07.2012 - 15:33) inpost написал(а):
Советую почитать на php.net про функции md5 & mysql_real_escape_string.
Спустя 3 часа, 19 минут, 29 секунд (10.07.2012 - 18:53) kamanch написал(а):
| Цитата (inpost @ 10.07.2012 - 12:09) |
| vital Сессию сопрут? О-да. Вот в сессии у меня пароль записан, как человек украдёт её, что узнает мой пароль? Ну-ну, жду ответа, мастер! Может ты имел ввиду идентификатор сессии через куку, но это совсем иное дело |
Именно так. Воруются куки, и пока сессия жива, ходим в аккаунте жертвы.
А если еще хацкер и жертва в одной сети сидят, то и защита по ip не помогает.
Смех смехом, но однажды мне пришлось этакое внутреннее расследование проводить. Девочку, которая админила интернет шоп подсиживала ее колега.
Правда там весь профиль мозилы стягивался и потом зупускалась мозила, и вуаля - у хацкера открыты все страницы жертвы под ее логинами.
Но смысл примерно тот же.
Спустя 13 минут, 8 секунд (10.07.2012 - 19:06) inpost написал(а):
h.n.81
Ты мне не рассказывай, я прерываю выражение vitalа с намёком на то, что он говорит то, чего не знает.
Ты мне не рассказывай, я прерываю выражение vitalа с намёком на то, что он говорит то, чего не знает.
Спустя 11 часов, 35 минут, 33 секунды (11.07.2012 - 06:41) DarkLynx написал(а):
inpost, я же вроде и написал что заменить данные не реально, ну по крайней мере на данный момент развития человеческих знаний, а вот воспользоваться чужой это всегда пожалуйста.. Но я упустил 1 момент который дополнил кто то.. Если сессия еще жива не сервере..
Так что имхо, привязать сессию к пользователю не самый плохой но и не лучший вариант, везде свои плюсы и минусы.
Так что имхо, привязать сессию к пользователю не самый плохой но и не лучший вариант, везде свои плюсы и минусы.
Спустя 18 часов, 16 минут, 28 секунд (12.07.2012 - 00:58) 12345 написал(а):
ответьте мне на интересующий вопрос! Можно ли как-то заменить сесию?? или создать ее?
Спустя 1 день, 16 часов, 4 минуты, 44 секунды (13.07.2012 - 17:03) DarkLynx написал(а):
| Цитата (12345 @ 11.07.2012 - 21:58) |
| ответьте мне на интересующий вопрос! Можно ли как-то заменить сесию?? или создать ее? |
Заменить данные в сессии нельзя!
Спустя 1 час, 42 минуты, 29 секунд (13.07.2012 - 18:45) 12345 написал(а):
DarkLynx, спасибо.
И еще, можно ли ее как-то создать с постороннего сайта? На сколько я знаю, то нельзя. Но хотелось бы услышать ваши мнения
И еще, можно ли ее как-то создать с постороннего сайта? На сколько я знаю, то нельзя. Но хотелось бы услышать ваши мнения
Спустя 2 часа, 7 минут, 17 секунд (13.07.2012 - 20:52) kamanch написал(а):
| Цитата |
| И еще, можно ли ее как-то создать с постороннего сайта? На сколько я знаю, то нельзя. Но хотелось бы услышать ваши мнения |
Ты не понимаешь самого смысла сессии.
Ты через браузер заходишь на сайт www.site.ru На сервере этого сайта создается сессиия для твоего браузера.
Если ты в это же время, с этого же компьютера зайдешь на этот же сайт, но другим браузером, то создастя абсолютно другая сессия, которая не будет иметь абсолютно ничего общего с первой.
Само слово сессия в данном случае означает то, что происходят некие действия между двумя участниками (браузер <-> сервер)
Гарри Поттера смотрел?
Помнишь они там могли воспоминания в шары помещать и хранить их?
Так вот это и есть сессия
Спустя 1 час, 7 минут, 55 секунд (13.07.2012 - 22:00) DarkLynx написал(а):
| Цитата (h.n.81 @ 13.07.2012 - 17:52) |
| Гарри Поттера смотрел? Помнишь они там могли воспоминания в шары помещать и хранить их? Так вот это и есть сессия |
Не самый удачный пример имхо =))