Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5. На примерах. Авторы: Кузнецов М.В., Симдянов И.В., Голышев С.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель PHP 5 / 6 (3 издание). Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум (новые сообщения вниз) Структурный форум

тема: Безопасное авторизирование!

Сообщения:  [1-10]    [11-20]  [21-21] 

 
 автор: cheops   (13.06.2011 в 21:39)   письмо автору
 
   для: xpom   (13.06.2011 в 21:13)
 

Да.

  Ответить  
 
 автор: xpom   (13.06.2011 в 21:13)   письмо автору
 
   для: cheops   (13.06.2011 в 18:36)
 

а при занесении данных в базу применять mysql_real_escape_string?

  Ответить  
 
 автор: cheops   (13.06.2011 в 18:36)   письмо автору
 
   для: xpom   (13.06.2011 в 17:03)
 

У вас текст исказится, его потом нельзя будет редактировать - будут артефакты от повторного использования htmlspecialchars(). Эту функцию лучше применять один раз и при выводе из базы данных.

  Ответить  
 
 автор: xpom   (13.06.2011 в 17:03)   письмо автору
 
   для: cheops   (13.06.2011 в 13:48)
 

почему же, если мы проверим, что занесем в базу, то и выводится будут чистые данные... не так ли?

  Ответить  
 
 автор: cheops   (13.06.2011 в 13:48)   письмо автору
 
   для: xpom   (13.06.2011 в 13:45)
 

Скорее не проверяться, а выводиться. Да, это значительно снизить вероятность XSS-инъекции, однако.

  Ответить  
 
 автор: xpom   (13.06.2011 в 13:45)   письмо автору
 
   для: cheops   (13.06.2011 в 00:09)
 

они вставляются в поля формы заполняемые пользователем?

если все поля, вводимые пользователем буду проверятся через функцию htmlspecialchars() можно исключить возможность XSS-инъекции?

  Ответить  
 
 автор: cheops   (13.06.2011 в 00:09)   письмо автору
 
   для: xpom   (12.06.2011 в 23:39)
 

Нет, XSS-инъекция - это вставка JavaScript-выражений для отправки данных на сторонний хост. Тут скорее приходится функция htmlspecialchars().

  Ответить  
 
 автор: xpom   (12.06.2011 в 23:39)   письмо автору
 
   для: cheops   (12.06.2011 в 22:07)
 

а функция mysql_real_escape_string исключит возможность XSS-инъекции?

при использовании сессии в кукисах хранится только SID?

  Ответить  
 
 автор: cheops   (12.06.2011 в 22:07)   письмо автору
 
   для: xpom   (12.06.2011 в 21:58)
 

Да, будет довольно безопасно (насколько вообще можно добиться безопасности).

>или подвергаться будет взлому?
Подвергаться взлому система может по разным причинам. Если вы исключаете возможность XSS-инъекции, то и обычные сессии будут безопасны (так как для воровства cookie придется по сути устанавливать контроль над машиной клиента).

  Ответить  
 
 автор: xpom   (12.06.2011 в 21:58)   письмо автору
 
   для: cheops   (12.06.2011 в 21:04)
 

функция session_set_save_handler() сильно сложная получается...

будит ли безопасно, если мы хешировать будем пароль в md5 и проверять в течении работы пользователя в сессии его ip адрес на изменение? Вот и вся защита...или подвергаться будет взлому?

  Ответить  

Сообщения:  [1-10]    [11-20]  [21-21] 

Форум разработан IT-студией SoftTime
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования