Jump to content
php.lv forumi

Sessijas Drošiba un jautājumi ar to


Faks

Recommended Posts

Labdien Dāmas Un Kungi Tātad Kārtējais jautajums nolēmu apjautāties vai mans kods ir effektivs jo ar Access MeTesta Rezultātiem liekas ka nē rezultātus var atrast .html failā ..

 

Sessijas Drošības Kods .

session_start();
// Sessija Aizkodēšana 
$session_data = session_encode();
//Sessijas id maiņa 
$old_session_id = session_id();
session_regenerate_id();
$new_session_id = session_id();

$token = sha1(uniqid(rand(), true));
$_SESSION['token'] = $token;


$fingerprint = 'SHIFLETT' . $_SERVER['HTTP_USER_AGENT'];
isset($_SESSION['fingerprint']) == (sha1($fingerprint . session_id()));

 

Un Ienākšanas formai pievients

<form>
<input type='hidden' name='token' value='{$token}'/>
</form>

results_1287024686015.html

Link to comment
Share on other sites

Ko tavuprāt nozīmē šī rindiņa?

isset($_SESSION['fingerprint']) == (sha1($fingerprint . session_id()));

Tiekt parbaudits vai fingerprint nau tuks un vai vins ir vienas ar aizkodetu mainigo $ffingerprint un sessijas id .

respektīvi tā nevar tikai šadi ja nekļudos .

$_SESSION['fingerprint'] = (sha1($fingerprint . session_id()));

Edited by Faks
Link to comment
Share on other sites

Nu, un kas notiek, ja šī izteiksme ir patiesa/aplama?

iznak viņs vienmer dod true vietā lai izvadīt false kā noprotu jāveido nosacijums .

ja pareizi sapratu tad iznak šadi

if($_SESSION['fingerprint'] != $_SESSION['fingerprint'])
{
exit;
} 

Edited by Faks
Link to comment
Share on other sites

Faks, varbūt tev vajadzētu sākt mācīties , nevis na haļavu kopēt koda fragmentus un izlikties par programētāju.

hmmm no kurienes tu to izzīdi !

Veljo vairāk pirmo reizi taisu drošibu pašai sesijai nākas lasīt visādus manuāļus un protams bez kļudām nevar iztikt .

Edited by Faks
Link to comment
Share on other sites

no tā koda nav skaidrs, kurā brīdī sesija skaitās derīga un kurā nē.

kā jau iepriekš minēja, pēdējās rindiņas jēga vispār nav izprotama.

pakomentē, kam, kurā brīdī būtu jānotiek.

Nu Tad Pa Punktiem .

  • Ideja tami tiko atvēra mājas lapu lietotājam izsniedza unikālo id kurš ir derīgs līdz lietotajs ielogojas iekša tiko ienāca viņam tiek izsniegta jauna sessesijas id .

Bet šis kods ir domāts lai izsargātos no sessiju zagļiem vai viltotājiem .

$fingerprint = 'SHIFLETT' . $_SERVER['HTTP_USER_AGENT'];
$_SESSION['fingerprint'] = sha1($fingerprint . session_id());

Link to comment
Share on other sites

Kurā vietā notiek ielogošanās pārbaude?

Vai arī tas ir tik virspusēji konceptuāls attēlojums, ka tas nav svarīgi?

Tāpat arī fingerprint - nekur jau tas netiek pārbaudīts un salīdzināts ar saglabāto...

Tādā ziņā atbilde uz tavu sākotnējo jautājumu ir: "jā, kaut ko kautkur saglabājot un pēc tam ar kaut ko citu salīdzinot iespējams var kaut kādu autentificēšanos un autorizēšanos izveidot" (~;

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
×
×
  • Create New...