| |
|
|
| | Добрый день!
Скажите пожалуйста, насколько безопасна авторизция в администраторский раздел, построенная на сессиях?
Допустим при обращении к индесной странице системы администрирования эта страница предлагает пользователю ввести логин и пароль. Если логин и пароль введен верно, то пользователь попадает в систему и при этом в сессии устанавливается определенная переменная со значением TRUE. Каждая страница системы администрирования содержит блок, который проверяет, установлена ли в сессии эта перменная в TRUE или нет. Если да - то блок ничего не делает, если нет - то блок перенаправляет пользователя на индексную страницу системы администрирования.
Если реализовать защиту по такой схеме, то это будет относительно безопасно (например, в сравнении с этим способом http://softtime.ru/info/apache.php?id_article=27)? | |
| |
|
|
| |
|
|
| |
для: Ирбис
(28.05.2010 в 12:03)
| | | Достаточна безопасна, если на сайте нет уязвимости по типу XSS-инъекций. | |
| |
|
|
| |
|
|
| |
для: cheops
(28.05.2010 в 12:17)
| | | Ну в принципе, единственное поле, через которое я позволяю вводить HTML-код, который затем при выводе на страницу не обрабатывается htmlspecialchars() - это поле WYSIWYG-редактора.
Это поле доступно только из системы администрирования.
Информация из всех остальных полей обрабатывается htmlspecialchars() перед выводом.
Такой вариант приемлем? | |
| |
|
|
