Skocz do zawartości
kt1117

Bezpieczeństwo

Rekomendowane odpowiedzi

Mam kilka pytań odnośnie bezpieczeństwa, np.

-Czy mogę być pewien, że nikt nie może przypisać do zmiennej w $_SESSION wartości, jeśli nie zapisuje jej nigdzie?

-Czy mogę być pewien, że nikt nie może wysłać do mnie zmiennej protokołem POST, jeśli nie wstawiłem nigdzie form'a?

-Czy da się włamać do bazy danych inaczej niż przez SQLinjection/brute force?

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

2. Nie możesz być pewien. Bardzo łatwo wysłać.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

1. $_SESSION to ciastko, jednak nie ma możliwości dopisania czegokolwiek bo samo ciastko jest hashowane. Jedyny sposób to przejęcie ciastka od innej osoby (Session Fixation) ale też możesz się przed tym bronić poprzez session_regenerate_id

3. Przechwycenie hasła na przykład gdy jest zapisane w jakimś pliku który wykorzystuje mysql_connect, a ktoś wyświetli zawartość katalogu i ściągnie plik.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Dzięki za pomoc, POST już zabezpieczyłem, a teraz będę myślał co zrobić z tym hasłem do bazy, które jest zapisane w jedynym pliku na serwie jakim jest index. Nie za bardzo wiem gdzie to przechować, bo raczej nie w bazie danych xD

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

zrob sobie plik config.php i w nim lacz sie z baza danych, potem go includuj. Ustaw mu odpowiednie atrybuty zeby nikt z zewnatrz nie mogl odczytac.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

O, dzięki. Teraz będzie bezpiecznie.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

$_SESSION da się nadpisać, wystarczy, że inny użytkownik na serwerze ma ten sam katalog tmp, lub ma prawa odczytu/zapisu. Można wtedy odczytać dane sesji z innego konta www.

Zmienne POST można wysłać zawsze, bo tak skonstruowany jest protokół zapytań HTTP.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się tutaj.

Zaloguj się tutaj

  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.

×