|
Тема |
Проверка на сигурността на ПХП сайт |
|
Автор |
VaXa (xenocide) |
|
Публикувано | 21.09.05 16:45 |
|
|
Ситуацията е следната:
Имам ПХП система за обмен на информация, която се ползва само от регистрирани потребители. Понеже това ми беше първия подобен проект, не съм много наясно дали всичко по session handlinga е направено, както трябва.
Системата е следната - идва юзър, стартира се сесия, прави се проверка в БД за логнати юзъри дали има запис за това сешън ид, ако има, юзърът е логнат, ако няма, юзърът е гост. Бях направил да има и проверка на ИП-адреса - ако ако има запис за това ид, но юзърът е с различно ИП, от това, с което се е логнал, съответно това, което стой в БД-то, но след това го махнах, защото ми изглеждаше излишно. Формата се събмитва чрез ПОСТ... има си и гарбидж колектор, който трие записи от БД-то, които са неактивни от последния час и т.н.
Та мисълта ми е: Как се уверявате като пишете сайт с логин форма, че е сигурно и не може да се хакни ... чак толкова лесно? На какво трябва да обърна особено внимание, какви са най-често прилаганите шашми при работа със сесии, за да проверя съответно дали всичко при мен е ок.
благодаря предварително на всички отзовали се!
|
| |
|
|
|