$_SESSION

[sandis_m]

Vai ir tāda iespējamība, ka kāds urķis var tikt klāt , piemēram $_SESSION['useraID'] un kaut kā to nomainīt?

[briedis]

Nē, bet viņš var nozagt sesijas identifikatoru, un tikt pie sveša userID.

[sandis_m]

Nē, bet viņš var nozagt sesijas identifikatoru, un tikt pie sveša userID.

 

Tad sanāk, ka nebūtu labs variants

 

 

DELETE FROM blog WHERE id='$id' AND autors='$_SESSION[userID]'

 

 

?

[briedis]

Kāpēc dati priekš kvērija vispār būtu jāglabā sesijā?

Tak padod tos kā POST(būtu labāk) vai GET datus...

[emsy]

Es vienmēr esmu glabājis usera id sasijā, bet esmu iemanījies to padarīt ērtāk pielietojamu.

 

define(uID,$_SESSION['uid']);
"delete from kkas Where uid=uID"

Edited June 6, 2010 by emsy

[Pentiums]

savu id vienmēr ieglabāju sesijā un tālāk:

$user = mysql_fetch_assoc(mysql_query("SELECT id, vards, velkautkas, velkkas2, bljablja FROM lietotaji WHERE id = '".mysql_real_escape_string($_SESSION['uid'])."' LIMIT 1"));

 

un tālāk kad jebkur vajag savus datus, vnk izmantoju $user :)

[emsy]

Pentiums, kāpēc tu baiddies no sesijas, kuru pats esi veidojis??

[mefisto]

Nu bet piesaisti sesiju pie IP. Nebūs tik ļoti par to jāuztraucas.

 

 

Vēl nāk prātā variants, ka kāds no servera puses pie sesijas tiek ,

( sit' man' nost , bet es nezinu vai tas patiesībā ir izdarāms )

bet tādā gadījumā sesija ir tas mazākais par ko tev būtu jāuztraucas.

[Pentiums]

@emsy, es nebaidos no sesijas.

Sesijā ieglabāju tikai usera id un tālāk izpildu kveriju, kas masīvā iemet visus usera datus.

[emsy]

Bet kāda velna pēc, sesija vēl tiek izvilkta caur escape funkciju, ja tu vari būt 100% pārliecināts, ka tur ir tikai lietotāja ID???

[Леший]

emsy, ja nekļūdos, sesijas dati stāv servera atmiņā (klients glabā tikai cepumu). Un kaut kur esmu lasījis, ka faktiski tā "atmiņa" ir swap, vai kaut kas tam līdzīgs. Līdz ar to, sesijas dati stāv failos, un, ja admins nav sakonfigurējis permīcijas pareizi, pie to datu lasīšanas/rediģēšanas var tikt.

[v3rb0]

emsy,

labāk esceipo pilnīgi visu, arī tur, kur šobrīd liekas ka nevajag, jo kodu mēdz refacturēt, un var aizmirst ka tagad pēc izmaiņām vajadzēja pielikt esceipošanu arī te, un te, un vēl tur, bet nu jau ir par vēlu.

[Maris-S]

Esmy, esceipošana jau nav tikai drošības lieta, kā uid varētu būt arī lietotāja vārds (šaubos ka kāds izmantos vārdus ciparu id vietā, bet tomēr).

[Maaren]

Es rīkojos mazliet savādāk..

1)Pie ielogošanās nodefinēju randomu sesijas identifikatoru, ko arī lieku $_SESSION.

2)MySQL useru tabulā session_id mainu attiecīgi uz to sesijas stringu, pamainu IP lauku uz clienta IP, arīdzen saglabāju pēdējās aktivitātes laiku

3)Katru reizi veicu pārbaudi vai sessijas ID un IP sakrīt, ja nē, tad veicu logout.

4)kā arī ja 15minūtes nav bijušu aktivitāšu tad veicu logout.

 

Šo visu arī labi ar cookie var apvienot, jo ja pat kāds uzzinās jūsu sesijas ID, tad viņš nevarēs ielogoties no sveša IP.

Edited June 13, 2010 by Maaren