| Autor | Zpráva | ||
|---|---|---|---|
| gardener Profil |
#1 · Zasláno: 8. 2. 2009, 17:37:41
Zdravím
Mám jeden problém, v závislosti na návratové hodnoty fce pro ověřování nastavuji hodnotu session. Pokud je ověření o.k, nastavím hodnotu session na 1 a odkazuji na další stránku, kde session kontroluji, ale at ma session hodnotu jakou chce, tj. 0 nebo 1 vzdy nesplni podminku. Viz: overeni($username,$password);//Volam fci
{
if($_SESSION['prihlasen'] == 0){
//:Pokud se neprihlasi spravne
echo "neco je spatne";
echo "<script>location.href='false.html';</script>";
//exit();
}
else if($_SESSION['prihlasen'] == 1)
{
echo "k overeni doslo";
exit("<script>location.href='layout.php';</script>");
}
}A kdyz ma hodnotu 1, tak odkazuji na layout.php kde kontroluji. session_start();
if ($_SESSION['prihlasen'] != 1);
{
$id=session_id();
echo("$id");
exit("Neplatne prihlaseni");
}Nicméně to nikdy neprojde, kde by mohla býti chyba? Díky za každou radu.. |
||
| tiso Profil |
#2 · Zasláno: 8. 2. 2009, 17:45:59
var_dump($_SESSION);
|
||
| nightfish Profil |
#3 · Zasláno: 8. 2. 2009, 17:51:18
„if ($_SESSION['prihlasen'] != 1);“
to znamená: pokud je hodnota v $_SESSION['prihlasen'] různá od 1, proveď prázdný příkaz (nedělej nic) následně se provede blok na řádcích 3 až 7 nezávisle na výsledku výše uvedené podmínky |
||
| gardener Profil |
#4 · Zasláno: 8. 2. 2009, 23:23:53
Ach so, takže je tam špatně středník v
if ($_SESSION['prihlasen'] != 1); |
||
| gardener Profil |
#5 · Zasláno: 8. 2. 2009, 23:24:34
Ach so, takže je tam špatně středník v
if ($_SESSION['prihlasen'] != 1); |
||
| gardener Profil |
#6 · Zasláno: 8. 2. 2009, 23:32:07
Ted by me ale jeste jenom zajimalo, jakym zpusobem je tohle napadnutelne, moc se mi nechce verit, ze by to bylo nejak moc bezpecne...uzivatel muze preci podstrcit falesnou session, nebo ne?
A jak se proti tomu branit? |
||
| imploder Profil |
#7 · Zasláno: 8. 2. 2009, 23:41:38
gardener
To je z hlediska bezpečnosti úplně na prd. Ano, uživatel může podstrčit falešnou session. Proto musí být správná hodnota session pro prihlášení proměnlivá - při každém přihlášení generovaná nová. Nejlépe nějaké hodně velké číslo nebo řetězec. Tento identifikátor se nazývá SESSID. Tak, jak to máš, je vlastně SESSID vždy 1. To je opravdu naprosto nepoužitelné. |
||
| gardener Profil |
#8 · Zasláno: 8. 2. 2009, 23:47:16
O.K a jak takovou hodnotu generovat? a zatoven tu samou uverovat? Dalo by se to napr. pomocí Mtrand?
A když si dám vypsat session_id();, tak mi to také vrátí nějaký dlouhý řetězec..nedalo by se toho nějak zužitkovat? |
||
| imploder Profil |
#9 · Zasláno: 9. 2. 2009, 00:00:27
gardener
http://us2.php.net/uniqid Obvykle se ten identifikátor pak uloží na serveru jako platný. Při ověřování se pak ověřuje, jestli tam je, nebo není. Identifikátory můžeš mít uložené v tabulce v databázi nebo na řádcích v textovém souboru. Pokud nemáš databázi a použiješ tak textový soubor, je to o něco složitější - musí být na místě, kde není veřejný přístup (.htaccess: deny from all) a musí se vždycky volat flock(). Lepší je mít databázi, tam není co řešit. |
||
|
Časová prodleva: 15 let
|
|||
0