http://softtime.ru/forumhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483503Да.Безопасное авторизирование!Mon, 13 Jun 2011 21:39:23 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483500а при занесении данных в базу применять mysql_real_escape_string?Безопасное авторизирование!Mon, 13 Jun 2011 21:13:23 +0300xpomhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483486У вас текст исказится, его потом нельзя будет редактировать - будут артефакты от повторного использования htmlspecialchars(). Эту функцию лучше применять...Безопасное авторизирование!Mon, 13 Jun 2011 18:36:26 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483483почему же, если мы проверим, что занесем в базу, то и выводится будут чистые данные... не так ли?Безопасное авторизирование!Mon, 13 Jun 2011 17:03:13 +0300xpomhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483457Скорее не проверяться, а выводиться. Да, это значительно снизить вероятность XSS-инъекции, однако.Безопасное авторизирование!Mon, 13 Jun 2011 13:48:23 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483455они вставляются в поля формы заполняемые пользователем? если все поля, вводимые пользователем буду проверятся через функцию htmlspecialchars() можно исключить возможность...Безопасное авторизирование!Mon, 13 Jun 2011 13:45:28 +0300xpomhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483420Нет, XSS-инъекция - это вставка JavaScript-выражений для отправки данных на сторонний хост. Тут скорее приходится функция htmlspecialchars().Безопасное авторизирование!Mon, 13 Jun 2011 00:09:58 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483418а функция mysql_real_escape_string исключит возможность XSS-инъекции? при использовании сессии в кукисах хранится только SID?Безопасное авторизирование!Sun, 12 Jun 2011 23:39:03 +0300xpomhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483410Да, будет довольно безопасно (насколько вообще можно добиться безопасности). "или подвергаться будет взлому? Подвергаться взлому система может по разным причинам....Безопасное авторизирование!Sun, 12 Jun 2011 22:07:45 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483405функция session_set_save_handler() сильно сложная получается... будит ли безопасно, если мы хешировать будем пароль в md5 и проверять в течении работы...Безопасное авторизирование!Sun, 12 Jun 2011 21:58:09 +0300xpomhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483374"а что это все, что относится к сессии? Мы же и так все данные храним в базе Данные сессии хранятся...Безопасное авторизирование!Sun, 12 Jun 2011 21:04:33 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483365"Можно, только что это даст? Вообще думал чтобы не пароль в сессии был а значение временное, злоумышленник чтобы не похитил...Безопасное авторизирование!Sun, 12 Jun 2011 19:38:23 +0300xpomhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483357Можно, только что это даст? "Можно ли назначить время жизни сессии и как можно удалять это число? Время жизни сессии...Безопасное авторизирование!Sun, 12 Jun 2011 17:12:30 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483354а можно ли, взять еще случайное число закешировать его и проверять вместе с ID пользователем, которое будет создаваться при авторизации...Безопасное авторизирование!Sun, 12 Jun 2011 16:58:08 +0300xpomhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483331Вообще говоря да, однако, SID сессии сейчас не передается через GET-параметры, а передается через cookie - увидеть и воспользоваться ими...Безопасное авторизирование!Sun, 12 Jun 2011 15:36:38 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483323а если злоумышленник увидит id, то он же и сможет получит доступ?Безопасное авторизирование!Sun, 12 Jun 2011 15:11:25 +0300xpomhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483313cookie хранятся на машине клиента и их всегда можно фальсифицировать, поэтому их можно использовать только для хранения данных, авторизацию, каждый...Безопасное авторизирование!Sun, 12 Jun 2011 13:41:54 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483309А что лучше использовать для авторизации с хорошей посещаемостью, куки или сессии? Куки вроде как быстрей работают...Безопасное авторизирование!Sun, 12 Jun 2011 13:27:26 +0300xpomhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483188Возможно второй вариант даже безопаснее, ведь если вдруг получится прочитать файлы сессии то злоумышленник увидит только флаг успешной авторизации или...Безопасное авторизирование!Fri, 10 Jun 2011 18:34:38 +0300parczynskihttp://softtime.ru/forum/read.php?id_forum=1&id_theme=81125#post483186Обычно действительно в сессию помещают флаг-признак авторизации и проверяют его. Ведь пользователь самостоятельно не может изменять значения в сессии, поэтому...Безопасное авторизирование!Fri, 10 Jun 2011 17:57:04 +0300cheops