Autor | Zpráva | ||
---|---|---|---|
joe Profil |
#1 · Zasláno: 6. 8. 2008, 23:10:46 · Upravil/a: joe
Ahoj,
jak tak procházím různé kódy, koukám jak mají zabezpečené sessions. Pochopil jsem, jak funguje vlastní sessions handler a taky jsem si napsal svůj vlastní, který by mi vyhovoval a pracuje s databází, je dost podobný jako ostatní, co se dají najít na internetu. Jenže co nechápu je, jestli to k něčemu vůbec je :-), protože sessions id je stále uložený u uživatele v cookies. Když teda volím funkce u session_set_save_handler, jedna z nich je i pro přečtení session. Volaná funkce na čtení session má parametr session_id, ale kde se ten parametr bere? To je ten, který se přečte z cookie, protože jestli jo, tak by to bylo celé k ničemu? Je třeba to ještě nějak jinak chránit nebo (ne)stačí si napsat takový jednoduchý handler? Podle mě to nestačí, tak k čemu to teda je? :) --- Učím se na praktických věcech. --- Když nad tím teď tak přemýšlím, při použití toho vlastního systému pro sessions je možné podstrčení jiného nějak získaného session ID? Ať zkoušim jak zkoušim, tak se mi to nedaří... Nemůžu o tom nikde najít žádné informace, které by mi k něčemu byly, věděl by někdo zkušenější poradit? --- Ještě pro vysvětlení, například tady, od Zendu je vytvořený vlastní systém pro sessions. Jedná se mi o funkci function _read($ses_id){ Díky |
||
joe Profil |
#2 · Zasláno: 7. 8. 2008, 21:30:41 · Upravil/a: joe
Moje chyba, jen se mi neukládá cookies v Opeře (nezobrazuje se mi v místním zobrazení, jinak se asi ukládá) a tak jsem nevěděl odkud se vlastně bere to id.
|
||
Časová prodleva: 16 let
|
0