Про безопасность сеансов.

[foma]

Про безопасность сеансов.

Объясните непонимающему...
Есть форма для авторизацци, и если авторизация удалась юзается строчки:

<?   
session_start();
    $_SESSION['avtoriz'] = true;
    $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']  
    $_SESSION['name_user']=$login;
    header("Location:[url]http://game.ru/test.php[/url]");  
?>

На странице http://game.ru/test.php делаю запрос:

<?  session_start(); 
 if (empty($_SESSION['avtoriz'])&& $_SESSION['ip'] != $_SERVER['REMOTE_ADDR'])  
 {
header("Location: [url]http://game.ru/index.php[/url]"); 
exit; 
 }   
//Далее идет код, с запросами к БД, основанными на переменной "$_SESSION['name_user']"  
?>

Так вот вопрос может ли посетитель каким либо образом изменить "$_SESSION['name_user']" или $_SESSION['ip']? Видимо я не совсем понимаю принцип сеансов... объясните непонимающему... а тоу меня возникла паранноя, я все думаю что будт если пользователь каким нить образом подставит в $_SESSION['name_user'] чужой логин...

 

[alexhemp]

http://phpfaq.ru/sessions

 

[moLodoi]

header("Location: <a href="http://game.ru/index.php" target="_blank">http://game.ru/index.php</a>");

а ето ч0 такое? что за <a href?

 

[foma]

это я так полагаю на этом форуме работает автоматическая вставка линка...

-~{}~ 20.06.05 16:13:

Автор оригинала: alexhemp
http://phpfaq.ru/sessions

Мне нечего нового это не дало... уточню вопрос:
Когда стартуется сеанс его имя оседает у пользователя(куки, линки) а все данные этого сеанса находятся на сервере?

 

[Panchous]

Мне нечего нового это не дало... уточню вопрос:
Когда стартуется сеанс его имя оседает у пользователя(куки, линки) а все данные этого сеанса находятся на сервере?

читать, пока не дойдет!!!

 

[SelenIT]

можно дополнить еще и этим: http://detail.phpclub.ru/article/sessions

 

[moLodoi]

... а тоу меня возникла паранноя, я все думаю что будт если пользователь каким нить образом подставит в $_SESSION['name_user'] чужой логин...

Если знает пароль и логин то и подставит

данные этого сеанса находятся на сервере?

а как ты думаешь где они еще могут быть?

 

[morti]

1. Ну вроде как в сессии от ничего подставить не сможет. // Прально народ грит, читай http://phpfaq.ru/sessions

2. header("Location: <a href="http://game.ru/index.php" target="_blank">http://game.ru/index.php</a>");

а это я вообще в шоке, это должно работать??? =8)

 

[agx]

ИМХО все, что лежит в сессиях, доступно только тому клиенту, который знает SID. А его можно передать в куках или через URL. Здесь все достаточно безопасно, помоему...
P.S. Да, кстати, я обычно пишу header("Location: <URL>");, а так, как ты пишешь - не должно работать, скорее всего.

-~{}~ 20.06.05 17:07:

В смысле, <URL> - это, к примеру, http://phpclub.ru.

 

[foma]

Автор оригинала: morti
2. header("Location: <a href="http://game.ru/index.php" target="_blank">http://game.ru/index.php</a>");

а это я вообще в шоке, это должно работать??? =8)

Народ не тупи... я же говорю это умные форумные скрипты подставляют... попробуйте сами - напишите эту строку без тегов <a>, и между дескрипторов [РНР] посмотрите как преобразует ее форумная автозамена...

 

[Фанат]

foma
не тупи. никакой АВТО замены нет.
отредактируй САМ своё сообщение у убери САМ галку с чекбокса про замену урлов.

-~{}~ 20.06.05 19:31:

мальчик.
эти две фразы:

Видимо я не совсем понимаю принцип сеансов...

http://phpfaq.ru/sessions
Мне нечего нового это не дало...

противоречат друг другу.
выбери, пожалуйста, что-нибудь одно.