Переменные из сессии

[SerjVarshavskiy]

Переменные из сессии

Как думаете нужно ли проверять переменные полученные
из сессии, если перед добавлением их в сессию они были
проверены?
Понимаю что похоже на параною , но ваше мнение?

 

[Нечто]

SerjVarshavskiy
А где у тебя данные сессии хранятся ты подумал?

 

[vladax]

Может ты будешь проверять ещё все переменные инициализированные в рамках скрипта, а заодно уж и существование пользовательских функций? Вдруг по дороге потерялись!

 

[SerjVarshavskiy]

Автор оригинала: Нечто
SerjVarshavskiy
А где у тебя данные сессии хранятся ты подумал?

да где угодно, хоть в файлах, хоть в базе, просто по моему это параноидально повторно проверять, но за лучшее счел посоветоваться с обществом

 

[Нечто]

SerjVarshavskiy
Это был риторический вопрос.

Подумай теперь, как могут загадиться переменные, пока лежат в сериализованном виде в файлах у тебя на сервере.

 

[SerjVarshavskiy]

Автор оригинала: Нечто
Подумай теперь, как могут загадиться переменные, пока лежат в сериализованном виде в файлах у тебя на сервере.

ну типа дыра в скриптах и echo 'bad var'>filesession
они же под юзером апача лежат при модуле пхп

 

[Demiurg]

а если в скриптах дыра `rm -fr /` ?

 

[SerjVarshavskiy]

эт понятно, но волнующий вопрос, быть или не быть
Вообщем подумав склоняюсь к тому что бы проверять!
совсем параноя заела

 

[4m@t!c]

Назови хоть одну реальную причину, по которой нужно проверять переменные сеанса, которые ты берешь из файла на стороне сервера, причем, эти переменные ты сам только что туда положил?
Это не параноя - это бред.

 

[Фанат]

да пусть проверяет.
жалко что ли.
одним ээээ... альтернативно одарённым программистом больше - одним меньше. какая, в сущности, разница?

Самое бессмысленное в данном случае - уговаривать
имхо

 

[SerjVarshavskiy]

вариант: кто-то делает приложение, а кто-то следит за сервером где оно крутится, вот ломанули сервер...
и нужно клиентам (очень "толстым") приложения сунуть гадость (любой вариант троян, вирус...). Приложение не в открытом коде (править/изменять код бесполезно).

Разумно подумав, а зачем тратить своё драгоценное время на проверку вроде бы своих же данных, взяли и не проверяем их.

С другой стороны сидит такой же разумный хакер и знает на все 100 что сессионные данные всем влом проверять и подменяет их на гадости....

Можно конечно менять данные в базе данных, но допустим что база на другом сервере и он не скомпрометирован...

это упрощенный случай.

 

[vladax]

SerjVarshavskiy
Зря ты пишешь сюда - здесь не лечат параною.

 

[4m@t!c]

SerjVarshavskiy, слушай, ты хоть одну строчку скрипта написал -одни рассказки. Ты сначало сделай хоть что-то, потом пусть ломанут, а уже потом затылок чухай. А, вообще, твой бред увеличивается прямопропорционально кол-ву просмотров этого треда.

 

[Demiurg]

SerjVarshavskiy
проверяй, причем на каждой строке, вдруг кто-то php похачит ?

 

[SerjVarshavskiy]

всё убедили, пойду сдаваться

 

[jonjonson]

SerjVarshavskiy, и что? Уже есть примеры взлома через файлы хранения сессионных данных?..

Впрочем, а что ты собрался проверять? Формат сохраненных данных? Или сами данные? А где ты собираешься хранить вариант для сверки? А будешь ли проверять и его? А проверяешь ли ты проверку?

На последок... Ты не доверяешь хостеру? А зачем тогда пользуешься его услугами?