Autor Zpráva
radeson
Profil
zdravim všechny,

potřebuji poradit, mám administraci webu a při úspěšném přihlášení nastavím session proměnnou, která má hodnotu např. TRUE. Chci vědět jestli je bezpečné ve stránkách administrace ověřovat pouze zda je proměnná nastavena nebo je vhodnější do session ukládat i heslo a login uživatele a v každém skriptu to ověřovat podle toho. V administraci totiž nepotřebuji rozlišovat žádné uživatele, pouze potřebuji aby měl přihlášený přístup ke stránkám. Nemůže si třeba útočník vytvořit vlastní falešnou session? Nebo to může pouze daný server na kterém se web nachází? Díky za odpověď a přeji pěkné velikonoční svátky.
DoubleThink
Profil *
Nemůže si třeba útočník vytvořit vlastní falešnou session?
Ne. Session je uložena na serveru.

při úspěšném přihlášení nastavím session proměnnou, která má hodnotu např. TRUE.
Běžný a zcela korektní postup.
radeson
Profil
DoubleThink
Děkuji ;-)
Toto téma je uzamčeno. Odpověď nelze zaslat.