Avatar
Patrik Smělý (SogoCZE)
Tým ITnetwork
Avatar
Patrik Smělý (SogoCZE):

Mám otázku, je $_SESSION['jmeno'] = $username; bezpečné ?, slyšel jsem že session se dá nějak prolomit. Děkuji za odpovědi.

Odpovědět 10.7.2014 15:36
PHP můj oblíbený jazyk......
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Patrik Smělý (SogoCZE)
Filip Šohajek:

S největší pravděpodobností se jedná o útok Session fixation (konkrétně popsaný v CVE-2011-4718). Pokud pravidelně updatuješ PHP, nic ti nehrozí, a navíc k odcizení session dochází chybou uživatele (klikne na odkaz atd..).

 
Nahoru Odpovědět 10.7.2014 16:56
Avatar
Vojtěch Novák:

Něco o tom ve starším článku http://php.vrana.cz/…omennych.php a http://php.vrana.cz/…jackingu.php

Editováno 10.7.2014 16:59
 
Nahoru Odpovědět 10.7.2014 16:57
Avatar
Patrik Smělý (SogoCZE)
Tým ITnetwork
Avatar
Patrik Smělý (SogoCZE):

No problém je že, můj web. Který ještě není tak zabezpečení mi někdo hacknul, měl jsem to zabezpečené přes SESSIONS a někdo se dostal na můj účet a zkazil mi vývoj, proto se ptám. Děkuji za ochotu.

Nahoru Odpovědět 10.7.2014 17:27
PHP můj oblíbený jazyk......
Avatar
Honza Bittner
Redaktor
Avatar
Odpovídá na Patrik Smělý (SogoCZE)
Honza Bittner:

Pokud vyvíjíš web a někdo ti ho hackne a zničí projekt tak je jistě chyba na tvé straně už jen v tom, že bys ho měl vyvíjet někde jinde než na webu.

Nahoru Odpovědět  +4 10.7.2014 18:35
Ptejte se mě na cokoli na https://github.com/HoBi/ama a followujte mě na Twitteru https://twitter.com/tenhobi. :-)
Avatar
mkub
Redaktor
Avatar
Odpovídá na Patrik Smělý (SogoCZE)
mkub:

lepsie je vyvijat na localhoste a nie niekde na nete, potom sa ani nemusis bat, ze ti niekto ukradne tvoj projekt...
a ma to aj vyhodu v tom, ze mas aj lepsiu odozvu a nemusis tolko dat prenasat po nete...

 
Nahoru Odpovědět 14.7.2014 4:46
Avatar
Patrik Smělý (SogoCZE)
Tým ITnetwork
Avatar
Odpovídá na mkub
Patrik Smělý (SogoCZE):

V tom máš pravdu, taky jsem už začal dělat na localhostu, a na ty sessiony jsem už přišel(Kamarád poradil). Že při každém přihlášení ukládám do sessionu, token který obsahuje jméno heslo a přesný čas, a toto vše hashované. a to se ukládá do sessionu ale i do db ke každému uživateli, a na každé stránce která chce přihlášeného uživatele kontroluji jestli se token v sessionu rovná tomu v db. Tím zabráním že budou dva uživatelé pod jedním účtem, a také jsem to ošetřil. Děkuju za váš čas, čtením tohoto příspěvku. Děkuji SogoCZE(Patrik Smělý).

Nahoru Odpovědět  +1 19.7.2014 2:55
PHP můj oblíbený jazyk......
Avatar
mkub
Redaktor
Avatar
Odpovídá na Patrik Smělý (SogoCZE)
mkub:

a pritom vyvoj na localhoste ti aj setri data, pristup ku kodu je rychlejsi, ked potrebujes nieco pozmenit a pridat

 
Nahoru Odpovědět 19.7.2014 14:41
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 8 zpráv z 8.