NOVINKA - Online rekvalifikační kurz Python programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskuze: $_SESSION['jmeno'] = $username; bezpečné ?

V předchozím kvízu, Online test znalostí PHP, jsme si ověřili nabyté zkušenosti z kurzu.

Aktivity
Avatar
Patrik Smělý
Tvůrce
Avatar
Patrik Smělý:10.7.2014 15:36

Mám otázku, je $_SESSION['jmeno'] = $username; bezpečné ?, slyšel jsem že session se dá nějak prolomit. Děkuji za odpovědi.

 
Odpovědět
10.7.2014 15:36
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Odpovídá na Patrik Smělý
Neaktivní uživatel:10.7.2014 16:56

S největší pravděpodobností se jedná o útok Session fixation (konkrétně popsaný v CVE-2011-4718). Pokud pravidelně updatuješ PHP, nic ti nehrozí, a navíc k odcizení session dochází chybou uživatele (klikne na odkaz atd..).

Nahoru Odpovědět
10.7.2014 16:56
Neaktivní uživatelský účet
Avatar
Vojtěch Novák
Člen
Avatar
Vojtěch Novák:10.7.2014 16:57

Něco o tom ve starším článku http://php.vrana.cz/…omennych.php a http://php.vrana.cz/…jackingu.php

Editováno 10.7.2014 16:59
 
Nahoru Odpovědět
10.7.2014 16:57
Avatar
Patrik Smělý
Tvůrce
Avatar
Patrik Smělý:10.7.2014 17:27

No problém je že, můj web. Který ještě není tak zabezpečení mi někdo hacknul, měl jsem to zabezpečené přes SESSIONS a někdo se dostal na můj účet a zkazil mi vývoj, proto se ptám. Děkuji za ochotu.

 
Nahoru Odpovědět
10.7.2014 17:27
Avatar
Honza Bittner
Tvůrce
Avatar
Odpovídá na Patrik Smělý
Honza Bittner:10.7.2014 18:35

Pokud vyvíjíš web a někdo ti ho hackne a zničí projekt tak je jistě chyba na tvé straně už jen v tom, že bys ho měl vyvíjet někde jinde než na webu.

Nahoru Odpovědět
10.7.2014 18:35
FIT ČVUT alumnus :-) Sleduj mě na https://twitter.com/tenhobi a ptej se na cokoli na https://github.com/tenhobi/ama.
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Patrik Smělý
mkub:14.7.2014 4:46

lepsie je vyvijat na localhoste a nie niekde na nete, potom sa ani nemusis bat, ze ti niekto ukradne tvoj projekt...
a ma to aj vyhodu v tom, ze mas aj lepsiu odozvu a nemusis tolko dat prenasat po nete...

 
Nahoru Odpovědět
14.7.2014 4:46
Avatar
Patrik Smělý
Tvůrce
Avatar
Odpovídá na mkub
Patrik Smělý:19.7.2014 2:55

V tom máš pravdu, taky jsem už začal dělat na localhostu, a na ty sessiony jsem už přišel(Kamarád poradil). Že při každém přihlášení ukládám do sessionu, token který obsahuje jméno heslo a přesný čas, a toto vše hashované. a to se ukládá do sessionu ale i do db ke každému uživateli, a na každé stránce která chce přihlášeného uživatele kontroluji jestli se token v sessionu rovná tomu v db. Tím zabráním že budou dva uživatelé pod jedním účtem, a také jsem to ošetřil. Děkuju za váš čas, čtením tohoto příspěvku. Děkuji SogoCZE(Patrik Smělý).

 
Nahoru Odpovědět
19.7.2014 2:55
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Patrik Smělý
mkub:19.7.2014 14:41

a pritom vyvoj na localhoste ti aj setri data, pristup ku kodu je rychlejsi, ked potrebujes nieco pozmenit a pridat

 
Nahoru Odpovědět
19.7.2014 14:41
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 8 zpráv z 8.