ID сессии в ручную
- Автор темы Sergl
- Дата начала
Мы думаем, что либо ты не понял, что написано в книге, либо там написана несусветная чушь.
Я, всё же, склоняюсь к первому, хотя нельзя исключать и второго.
скажи, как ты сам понимаешь смысл сказанного тобой? как пересекаются генерация и перехват?
и чем поможет от перехвата дописывание чего бы то ни было к ID сессии?
Я, всё же, склоняюсь к первому, хотя нельзя исключать и второго.
скажи, как ты сам понимаешь смысл сказанного тобой? как пересекаются генерация и перехват?
и чем поможет от перехвата дописывание чего бы то ни было к ID сессии?
WP
^_^
> Пришла такая идея: к сгенериному ID'у приписывать IP юзера.
Может быть имелось в виду хранить в сессии стартовый IP и при каждом запросе проверять?
> Прочитал в книге про перехват сессии. В ней сказано: достаточно знать алгоритм формирования ID'а сервером и довольно просто перехватить(подобрать) ID юзера.
Не совсем так. Чтобы узнать значение, в данном случае идентификатор сессии, нужно знать алгоритм, и переменные участвовшие в алгоритме. Т.е. например если предположить что ID генерируется вот так:
$var = rand(0,10);
$ID = md5($var);
То можно подобрать ID, как сказано в книге. Но в реальных условиях вариантов не 10, а намного порядков больше. Обычно используют показания microtime().
Может быть имелось в виду хранить в сессии стартовый IP и при каждом запросе проверять?
> Прочитал в книге про перехват сессии. В ней сказано: достаточно знать алгоритм формирования ID'а сервером и довольно просто перехватить(подобрать) ID юзера.
Не совсем так. Чтобы узнать значение, в данном случае идентификатор сессии, нужно знать алгоритм, и переменные участвовшие в алгоритме. Т.е. например если предположить что ID генерируется вот так:
$var = rand(0,10);
$ID = md5($var);
То можно подобрать ID, как сказано в книге. Но в реальных условиях вариантов не 10, а намного порядков больше. Обычно используют показания microtime().