PHP Sikker logind

Tags:    php security

Hej Udviklere.

Jeg har lavet et login script hvor jeg har gemt et unikt "id" i databasen som ikke kan ses af nogen.
Mit spørgsmål er så om det er sikkert kun at bruge denne form for sikkerhed?
Dette unikke "id" gemmes selvfølgelig i deres session.



4 svar postet i denne tråd vises herunder
2 indlæg har modtaget i alt 3 karma
Sorter efter stemmer Sorter efter dato
At gemme i session er ikke det store problem. Dog skal du være opmærksom på at det, ved man-in-the-middle attacks, kan lade sig gøre at overtage sessionen.

Sessions er cookie baseret. Dvs. at der ligger en cookie med et session ID (PHPSESSID) hos klientens. Man-in-the-middle kan aflure session ID og overtage session på en anden klient. Men data gemt i session ligger på serveren, gemt i en tekstfil i PHP's session mapper. Fra HTTP perspektiv er der ikke direkte adgang til data gemt i session.



Indlæg senest redigeret d. 19.06.2013 21:26 af Bruger #10216
så vidt jeg ved, er det ikke muligt, at sætte sin egen session. Det bliver håndteret serverside.



Jeg tror du er nødt til, at uddybe hvad du mener med unikt id.



Det er bare et id jeg genere som er unikt fra alt andet, og ingen kender det.
Dette her id vil jeg så bruge i en session som så går ind og finder det rigtige id.

Det er så man ikke bare selv kan angive at ens session id skal være 1 og så kommer man ind på brugeren med id 1, som nok er "administrator"





t