Jump to content
php.lv forumi

Sessijas


Blackout

Recommended Posts

Labdien. Man te tāds neparast jautājums. Vai sessijās ir droši turēt tādus parametrus, kā piemēram ir/nav admins? un kur sessijas glabājas uz clienta kompja vai uz servera? Piem. man ir admin.php fails un tur pārbauda sessiju admins ir vai nav. vai tas būs droši?

Link to comment
Share on other sites

Absolūti drošs nav NEKAS!

Bet vispār jau turēt vari diezgan droši.

Ja tomēr neuzticies, vari sesijaa tureet username un katru reizi paarbaudiit ieksh db jamaa acces level. Ja nav setots - nepārbaudi vispār neko...

Vienkāršs selekts nelielā tabulā neko daudz neiebremzēs (ja nav mega apmeklēts saits).

Link to comment
Share on other sites

Sessijas izmantoshana viennoziimiigi ir droshaaka par visaadiem kookijiem un visu citu drazu. Vai lietot vertibas kas saglabatas sessijaas vai tomeer sessijaa saglabaat kautkaadu id (vai username) un katru reizi taisiit kaadu selectu no datubaazes ir striidiigs jautaajums. Slikti ir sessijaas tureet daudz info (noslogo webserveri), bet slikti ir arii, ja tev lapai ir liels apmekleejums un biezha staigaashana pa lapaam, tad uz katru lapas refresh taisiit selectu no datubaazes.

Pashlaik vienaa projektaa ko taisu es censhos iipashi daudz sessijaas netureet (tikai id un lietotaaja autorizaacijas liimeni), bet saak izskatiities, ka tomeer ir slikti katraa lapaa laadeet visu nepiecieshamo info no datubaazes, jo nereti shiis lapas ir liidziigas - piemeeram tie pashi dati tikai citaa griezumaa (primitiivaakais - citaa seciibaa sakaartoti).

Link to comment
Share on other sites

var pielikt ka 1nā no N reizēm pārbauda, vai sessijā esošais usera id sakrīt ar tiesībām un visiem pārējiem datiem ko kešo iekš sessijas. ja nu kāds atrod kā pamainīt kaut ko sessijā, tad vismaz var tādu faktu nokert.

Link to comment
Share on other sites

sesijā pamainīt neko nevar. ja vien nav access pie serva vai arī kkāds funkciju hacks :)

par glabāšanu sesijā - jābaidās no sesijas ID zagšanas, bet tas arī ļoti maz ticams. galugalā var izmantot key ģenerācijas pēc maksimāli daudz userparametriem. laacz to realizēja šādi: http://laacz.lv/blog/2005/02/16/php_session_fixation/

Link to comment
Share on other sites

×
×
  • Create New...