Autor Zpráva
joe
Profil
Ahoj,

jak tak procházím různé kódy, koukám jak mají zabezpečené sessions. Pochopil jsem, jak funguje vlastní sessions handler a taky jsem si napsal svůj vlastní, který by mi vyhovoval a pracuje s databází, je dost podobný jako ostatní, co se dají najít na internetu.

Jenže co nechápu je, jestli to k něčemu vůbec je :-), protože sessions id je stále uložený u uživatele v cookies. Když teda volím funkce u session_set_save_handler, jedna z nich je i pro přečtení session. Volaná funkce na čtení session má parametr session_id, ale kde se ten parametr bere? To je ten, který se přečte z cookie, protože jestli jo, tak by to bylo celé k ničemu?

Je třeba to ještě nějak jinak chránit nebo (ne)stačí si napsat takový jednoduchý handler? Podle mě to nestačí, tak k čemu to teda je? :)

---

Učím se na praktických věcech.

---

Když nad tím teď tak přemýšlím, při použití toho vlastního systému pro sessions je možné podstrčení jiného nějak získaného session ID? Ať zkoušim jak zkoušim, tak se mi to nedaří... Nemůžu o tom nikde najít žádné informace, které by mi k něčemu byly, věděl by někdo zkušenější poradit?

---

Ještě pro vysvětlení, například tady, od Zendu je vytvořený vlastní systém pro sessions. Jedná se mi o funkci
function _read($ses_id){
konkrétně o ten parametr té funkce, kde se vezme? Protože nemůžu prostě nějakým způsobem podstrčit - v rámci testování - jiné session id, které by se pak objevilo v tom selectu, když si ho vypíšu. Je to tak dobře nebo něco dělám špatně? -> Tím pádem "jen" tímto zamezím podstrčení SID? Nějak se mi to nezdá :)

Díky
joe
Profil
Moje chyba, jen se mi neukládá cookies v Opeře (nezobrazuje se mi v místním zobrazení, jinak se asi ukládá) a tak jsem nevěděl odkud se vlastně bere to id.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: