Blackout Posted January 21, 2006 Report Share Posted January 21, 2006 Labdien. Man te tāds neparast jautājums. Vai sessijās ir droši turēt tādus parametrus, kā piemēram ir/nav admins? un kur sessijas glabājas uz clienta kompja vai uz servera? Piem. man ir admin.php fails un tur pārbauda sessiju admins ir vai nav. vai tas būs droši? Link to comment Share on other sites More sharing options...
ohmygod Posted January 21, 2006 Report Share Posted January 21, 2006 Absolūti drošs nav NEKAS! Bet vispār jau turēt vari diezgan droši. Ja tomēr neuzticies, vari sesijaa tureet username un katru reizi paarbaudiit ieksh db jamaa acces level. Ja nav setots - nepārbaudi vispār neko... Vienkāršs selekts nelielā tabulā neko daudz neiebremzēs (ja nav mega apmeklēts saits). Link to comment Share on other sites More sharing options...
Blackout Posted January 21, 2006 Author Report Share Posted January 21, 2006 lab paldies par atsaucību... es jau biju atradis vienu tutoriāli, izlasīju. :) Link to comment Share on other sites More sharing options...
DarkSide Posted January 24, 2006 Report Share Posted January 24, 2006 Sessijas izmantoshana viennoziimiigi ir droshaaka par visaadiem kookijiem un visu citu drazu. Vai lietot vertibas kas saglabatas sessijaas vai tomeer sessijaa saglabaat kautkaadu id (vai username) un katru reizi taisiit kaadu selectu no datubaazes ir striidiigs jautaajums. Slikti ir sessijaas tureet daudz info (noslogo webserveri), bet slikti ir arii, ja tev lapai ir liels apmekleejums un biezha staigaashana pa lapaam, tad uz katru lapas refresh taisiit selectu no datubaazes. Pashlaik vienaa projektaa ko taisu es censhos iipashi daudz sessijaas netureet (tikai id un lietotaaja autorizaacijas liimeni), bet saak izskatiities, ka tomeer ir slikti katraa lapaa laadeet visu nepiecieshamo info no datubaazes, jo nereti shiis lapas ir liidziigas - piemeeram tie pashi dati tikai citaa griezumaa (primitiivaakais - citaa seciibaa sakaartoti). Link to comment Share on other sites More sharing options...
Blackout Posted January 25, 2006 Author Report Share Posted January 25, 2006 es arī turu tikai lietotāja username un tiesību levelu :) Link to comment Share on other sites More sharing options...
v3rb0 Posted January 25, 2006 Report Share Posted January 25, 2006 var pielikt ka 1nā no N reizēm pārbauda, vai sessijā esošais usera id sakrīt ar tiesībām un visiem pārējiem datiem ko kešo iekš sessijas. ja nu kāds atrod kā pamainīt kaut ko sessijā, tad vismaz var tādu faktu nokert. Link to comment Share on other sites More sharing options...
hmnc Posted January 25, 2006 Report Share Posted January 25, 2006 sesijā pamainīt neko nevar. ja vien nav access pie serva vai arī kkāds funkciju hacks :) par glabāšanu sesijā - jābaidās no sesijas ID zagšanas, bet tas arī ļoti maz ticams. galugalā var izmantot key ģenerācijas pēc maksimāli daudz userparametriem. laacz to realizēja šādi: http://laacz.lv/blog/2005/02/16/php_session_fixation/ Link to comment Share on other sites More sharing options...
Recommended Posts