Sigurnost sesije

Sigurnost sesije

offline
  • susok  Male
  • Novi MyCity građanin
  • Pridružio: 03 Sep 2009
  • Poruke: 23
  • Gde živiš: BH

Pozdrav!

Kad mi se korisnik loguje na sajt u session mu se spremi id (id iz mysql baze od korisnika)
$_SESSION['id_korisnika']=$sql['id_korisnika'];

i po tim provjeravam dali je korisnik logovan dali je administrator itd.

E sad mene zanima dali korisnici mogu promjeniti podatke spremljene u session, jer kad bi promjeno npr stavio id u session 1 imo bi pristup administraciji.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Blood  Male
  • Ugledni građanin
  • Pridružio: 26 Jul 2003
  • Poruke: 384
  • Gde živiš: Beograd

To se tako ne radi.
U sesiji cuvaj username i hashovan password, a onda pri svakom reloadu stranice, kroz kod proveri da li dati username i password ima admin privilegije i da li je uopste ulogovan sa dobrim user-om i password-om. Na taj nacin, iako uspe da promeni vrednosti sesije, jedino sto moze da se desi je da se izloguje.

Generalno korisniku nikada ne treba verovati, i samim tim nikada ne treba tako bitne stvari cuvati na mestima dostupne korisniku..



Ko je trenutno na forumu
 

Ukupno su 1143 korisnika na forumu :: 37 registrovanih, 5 sakrivenih i 1101 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: Arahne, Arsenije, Ben Roj, bojank, bokisha253, Centauro, Denaya, Djokislav, Dogma21, doloress, Dr.Strangelove, draganl, drimer, Georgius, kokodakalo, kuntalo, LUDI, mikrimaus, Milan A. Nikolic, MILO-VAN, Milometer, milutin134, moldway, nemkea71, nenad81, nikoladim, Pohovani_00, Povratak1912, RED4G-304, royst33, theNedjeljko, uruk, User98, vathra, vrag81, zastavnik, ZetaMan