Skocz do zawartości

Bezpieczeństwo


kt1117

Rekomendowane odpowiedzi

Mam kilka pytań odnośnie bezpieczeństwa, np.

-Czy mogę być pewien, że nikt nie może przypisać do zmiennej w $_SESSION wartości, jeśli nie zapisuje jej nigdzie?

-Czy mogę być pewien, że nikt nie może wysłać do mnie zmiennej protokołem POST, jeśli nie wstawiłem nigdzie form'a?

-Czy da się włamać do bazy danych inaczej niż przez SQLinjection/brute force?

Odnośnik do komentarza
Udostępnij na innych stronach

1. $_SESSION to ciastko, jednak nie ma możliwości dopisania czegokolwiek bo samo ciastko jest hashowane. Jedyny sposób to przejęcie ciastka od innej osoby (Session Fixation) ale też możesz się przed tym bronić poprzez session_regenerate_id

3. Przechwycenie hasła na przykład gdy jest zapisane w jakimś pliku który wykorzystuje mysql_connect, a ktoś wyświetli zawartość katalogu i ściągnie plik.

Odnośnik do komentarza
Udostępnij na innych stronach

  • Administratorzy

$_SESSION da się nadpisać, wystarczy, że inny użytkownik na serwerze ma ten sam katalog tmp, lub ma prawa odczytu/zapisu. Można wtedy odczytać dane sesji z innego konta www.

Zmienne POST można wysłać zawsze, bo tak skonstruowany jest protokół zapytań HTTP.

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...