Sistēmas drošība

[rob]

Jautājums. Ko tad īsti glabāt sesijā. Lietotāja vārdu, ip adresi statusu ka ir ielogojies un pie lapas ielādes pārbaudīt statusu un ip adresi?

 

Principā vari glabāt sesijā visus datus, kas nepieciešami nevis tikai piemēram userID, tas var palīdzēt arī pie atrdarbības iztiksi bez liekiem selektiem no DB. Par IP adrešu glabāšu dalītas jūtas - dari kā vēlies, ja useris nav piesaistīts kādi IP domāju ka jāga maza glabāt sesijā arī IP adresi. Es vel reizēm glabāju last action time sesijā noder ja vēlies forsēt userlogout, kā arī sniedz nelielu ieskatu kad useris pēdjo rezi ko darījis. Ja projekts tāds paliels var izmantot dažādus sesiju handlerus lai paātrinātu darbību. Bet no drošibas viedokļa atceris tikai vienu nekad neuzticies no lietotāja saņemtiem datiem (bez intval(), pg_escape_string /mysql_escape_string() aizmirsti par drošību) (protams šim f-cijām ir arī alternatīvas)