| |
|
|
| | Привет всем! Народ помогите разобраться с сессиями.....Например если использовать только сессию ,то возможна ли подмена сессии,если возможна то как это предотвратить? Заранее спасибо. | |
| |
|
|
| |
|
|
| |
для: ver1
(28.06.2009 в 15:21)
| | | Возможен перехват сессии... Сессия по сути дела обычные куки, время жизни которых измеряется текущим сеансом. Ты авторизуешься, например на сайте, тебе устанавливается кука с именем SID и длинным значением, в папке tmp создается временный файл sess_значение_SID, куда и записываются данные сессии. Напиши такой код:
session_start();
$_SESSION['name'] = "test";
foreach ($_SESSION as $key=>$value){
echo $key.":".$value."<br />";
}
foreach ($_COOKIE as $key=>$value){
echo $key.":".$value."<br />";
} | |
| |
|
|
| |
|
|
| |
для: Skinhead1
(28.06.2009 в 15:42)
| | | спасибо что ответили. Ну это ,то понятно что в куках устанавливается Значение и сид, а как сделать проверку на то что это тот самый сид а не другой....? Т.е. если перехватили куки...как это реализовать?Просто уже замучился по форумам рыскать ответ.... | |
| |
|
|
| |
|
|
| |
для: ver1
(28.06.2009 в 15:54)
| | | Тут где-то тема есть как такое дело замутить с айпи... Но это дрочь короче, чтобы твою сессию никто не перехватил не переходи со своего сайта на подозрительные ссылки, содержащие &c=<script>document.write(что-то там)</script> | |
| |
|
|
| |
|
|
| |
для: Skinhead1
(28.06.2009 в 15:59)
| | | Спасибо | |
| |
|
|
| |
|
|
| |
для: ver1
(28.06.2009 в 16:01)
| | | Мож решишь когда заняться, на некоторых сайтах, таких как вконтакте, переменная сид добавляется автоматически к любой ссылке, и если такому недотепе кинуть ссылочку на твой сайт, где у тебя есть сниффер, то можно потом перейдя по полученной ссылке (getenv('HTTP_REFERER')) стать этим несчастным, сменить ему пароль и написать на главной странице какую-нибудь гадость | |
| |
|
|
|
