Podstrony
- telcocafe
- [PHP+MySQL] Problem z połączeniem mysqli('localhost', 'xxx', 'xxx', 'xxx'
- [PHP] Wyrażenia regularne. Zamienić name="info_imie" na name="{info_imie}"
- [php] Dodanie textu do pliku. Problem... :) POMOCY!!!!!!!!!!!!!
- [PHP] Skrypt cenzury Chcę cenzury!!!
- Dobre programy do edycji php Dobre programy do edycji php
- [PHP] podział na strony php: podział na strony
- [PHP i MySQL] jak pobrac liczbe rezultatow Jak pobrac liczbe rezultatow???
- jak zrobic aktualizacje php? pomocy!!!!!
- Błąd w PHP-Fusion pomocy !!!!!
- Daczego nie dziala?? skrypt php nie chce działać!!!
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- jakub791.xlx.pl
telcocafe
Witam.Wpadł mi w łapki ostatnio dość ciekawy artykuł o bezpieczeństwu sesji, w sumie już wcześniej znałem problem, ale teraz pojęcie tematu się zwiększyło.
Chciałbym się Was poradzić jak mogę zabezpieczyć kod przed przechwyceniem sesji? Zapewne trzeba jakoś zidentyfikować czy sesja na pewno pochodzi od użytkownika? Ale jak to wykonać?
Na pewno nie pozwól, aby ID sesji znalazł się w adresie URL. Możesz także zapisać IP do zmiennej sesyjnej i sprawdzać za każdym razem, czy się zgadza. W przypadku żądań POST sprawdzaj REFERER, ale to nie wszystko. Najlepiej generować klucz (token) dla każdego formularza / akcji, a w przypadku operacji krytycznych (usunięcie konta, zmiana hasła / email) żądań potwierdzenia danych dostępowych.
Najlepiej generować klucz (token) dla każdego formularza / akcji
Mógłbyś to bardziej wyjaśnić, nie za bardzo rozumiem. Jaki klucz? Coś ukryte w hidden, generowane losowo i sprawdzane, czy jak?