|
| |
|
|
| |
для: Roma
(22.05.2007 в 22:49)
| | | Сессионные переменные это просто файл на сервере. Клиенту ничего кроме идентификатора сессии (имени этого файла) не выдается. Так что единственно возможное его влияние на сессию, это передача правильного или неправильного идентификатора. | |
| |
|
|
| |
|
|
| |
для: Trianon
(22.05.2007 в 20:25)
| | | > Нет. Спасибом не отделаетесь. :)
> Рассказывайте как сокетами сессию ломать!
:-))) | |
| |
|
|
| |
|
|
| |
для: Trianon
(22.05.2007 в 20:25)
| | | Я думал, что с помошью сокетов можно странице передать значения сессии (т.е., например, переменной $_SESSION['user_id'] присвоить любое значение) . В данном случае на страницу index.php администраторской части если можно было бы передать любое значение переменной $_SESSION['project']['id_user'], то условие if($_SESSION['project']['id_user'] !=0) будет выполняться почти всегда:) | |
| |
|
|
| |
|
|
| |
для: Roma
(22.05.2007 в 20:22)
| | | Нет. Спасибом не отделаетесь. :)
Рассказывайте как сокетами сессию ломать! | |
| |
|
|
| |
|
|
| |
для: Trianon
(22.05.2007 в 20:17)
| | | Trianon, спасибо большое, вы мне очень помогли!!! | |
| |
|
|
| |
|
|
| |
для: Roma
(22.05.2007 в 20:02)
| | | Рассказывайте, как именно.
Кстати, можно при аутентификации дописать в сессию REMOTE_ADDR , USETR_AGENT и случайное число, засунув последнее в сеансовый кукис . И сравнивать эти три вещи, отвергая сессию, если хотя бы одна не совпала.
Конечно, проверяя авторизацию лишь по существованию сессии, нельзя позволять пользователю совершать некоторые критические вещи. Менять собственные настройки безопасниости, например... Возможно, что-то еще. | |
| |
|
|
| |
|
|
| |
для: Trianon
(22.05.2007 в 19:53)
| | | Просто я думал, что можно подделать переменную $_SESSION['project']['id_user'] (с помощью сокетов), ведь в случае такой проверки подходит любое ее значение. Или я ошибаюсь и такое сделать невозможно? | |
| |
|
|
| |
|
|
| |
для: Roma
(22.05.2007 в 19:21)
| | | Если в сессии есть $_SESSION['project']['id_user'] с ненулевым значением - значит сессия наша. Когда придет пора завершать сеанс - просто протрем $_SESSION['project']['id_user']
Или Вы опасаетесь того, что SID будет украден?
Можно и на этот счет сделать проверку... но тогда придется дополнительные куки вводить. | |
| |
|
|
| |
|
|
| |
для: Trianon
(22.05.2007 в 18:58)
| | | я имел ввиду, что выше описанный скрипт проверяет существует ли такой пользователь в базе данных, и если существует, то переменной $_SESSION['project'], как я понял, присваивается id пользователя. Теперь в случае успешной регистрации при переходе на любую страницу, необходимо знать, что регистрация уже прошла, причем успешно. Как это сделать? я предполагаю, что необходимо проверить переменную $_SESSION['project'], только как?
Надеюсь, объяснил понятно. | |
| |
|
|
| |
|
|
| |
для: Roma
(22.05.2007 в 18:46)
| | | Что такое "должна проверяться сессия"?
Своими словами | |
| |
|
|
|
