ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Безопасен ли механизм Сессий PHP?
14 сообщений из 39, страница 2 из 2
  2  все
Безопасен ли механизм Сессий PHP?
    #38122087
_Промешан_
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
_Промешан_
Гость
вот такая команда на пхп:
$output = `ls -al`;
echo "<pre>$output</pre>";

Warning: shell_exec() has been disabled for security reasons in some.php on line 2
...
Рейтинг: 0 / 0
23.01.2013, 18:35
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122096
Фотография Ренат
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Ренат
Участник
_Промешан_вот такая команда на пхп:
$output = `ls -al`;
echo "<pre>$output</pre>";

Warning: shell_exec() has been disabled for security reasons in some.php on line 2
есть еще scandir('.') которая в вашем случае думаю прокатит)
...
Рейтинг: 0 / 0
23.01.2013, 18:41
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122160
_Промешан_
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
_Промешан_
Гость
Ренат,

вы правы. Прокатывает. Можно выполнить. Но если у пользователя нет доступа к фтп, то есть чего опасаться?
...
Рейтинг: 0 / 0
23.01.2013, 19:27
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122172
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
_Промешан_если у пользователя нет доступа к фтп, то есть чего опасаться?Уязвимости в ПО (в том числе в скриптах движков) таки иногда находят. Самописные скрипты бывают написаны "на коленке", лишь бы работало, без полной проверки входных данных. Отсюда и спам-рассылки через формы заказов, и заливка скриптов злоумышленниками...
...
Рейтинг: 0 / 0
23.01.2013, 19:35
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122195
_Промешан_
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
_Промешан_
Гость
vkle_Промешан_если у пользователя нет доступа к фтп, то есть чего опасаться?Уязвимости в ПО (в том числе в скриптах движков) таки иногда находят. Самописные скрипты бывают написаны "на коленке", лишь бы работало, без полной проверки входных данных. Отсюда и спам-рассылки через формы заказов, и заливка скриптов злоумышленниками...

ТОже понятно.
Вернемся к сессиям. Что с ними, кто-то знает? Безопасно ли?
...
Рейтинг: 0 / 0
23.01.2013, 19:47
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122240
_Промешан_
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
_Промешан_
Гость
так, кажется я все понял. Причину своих вопросов. Невежество.
Я то думал, что информация о настройках скачивается пользователю в куку. А в куке только Ид сессии. Все переменные на сервере. Блин. Ну надо же я так тупанул. пхп ж с пользователем не связана никак.
...
Рейтинг: 0 / 0
23.01.2013, 20:27
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122246
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
_Промешан_А в куке только Ид сессии.Верно. Однако, как уже говорили в самом начале обсуждения, этот айди можно намеренно стырить у пользователя (например, сниффером) или пользователь может слить его на сторону ненамеренно (отправив кому-то ссылку с идентификатором). Тогда получатель айдишника имеет шанс стать этим самым пользователем (с точки зрения скриптов).
...
Рейтинг: 0 / 0
23.01.2013, 20:33
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122278
_Промешан_
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
_Промешан_
Гость
vkle,

Вот теперь хотя бы понятно, почему лучше из базы грузить настройки и что ничего тут не сделаешь.

или можно обезопасить?
...
Рейтинг: 0 / 0
23.01.2013, 21:08
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122281
_Промешан_
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
_Промешан_
Гость
А и вопрос - где хранится сессия на сервере? Я могу получить доступ у хостера к этим данным, с учетом вышеизложенных запретов?
...
Рейтинг: 0 / 0
23.01.2013, 21:10
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122284
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
_Промешан_Вот теперь хотя бы понятно, почему лучше из базы грузить настройки и что ничего тут не сделаешь.В этом смысле нет никакой разницы.


_Промешан_или можно обезопасить?Отчасти SSL. Хотя, от лопоухого пользователя не спасет.
...
Рейтинг: 0 / 0
23.01.2013, 21:22
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122286
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
_Промешан_А и вопрос - где хранится сессия на сервере?Зависит от настроек сервера. Сходу не помню, виденли путь в phpinfo().

_Промешан_Я могу получить доступ у хостера к этим данным, с учетом вышеизложенных запретов?А вот когда получите - задайте этот вопрос хостеру
...
Рейтинг: 0 / 0
23.01.2013, 21:23
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122291
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
Пример простенького файла сессии:
Код: php
1.
2.
3.
4.
$ ls /tmp/sess_*
/tmp/sess_qevg5kafi1lid83ulom7r2it21
$ cat /tmp/sess_qevg5kafi1lid83ulom7r2it21
user_a|a:3:{s:7:"user_id";s:1:"1";s:10:"user_login";s:5:"user1";s:13:"user_is_admin";s:1:"1";}


Здесь сессия связана с реальной кукой, передающей такие данные: "PHPSESSID=qevg5kafi1lid83ulom7r2it21; path=/"

Разумеется, на реальном хостинге пути и имена файлов могут быть другими.
...
Рейтинг: 0 / 0
23.01.2013, 21:33
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38122420
nscl
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
nscl
Гость
1). Пишем в сессию IP и User_Agent пользователя.
2). Если пришел запрос с другого адреса или из другого браузера - скрипт считает запрос невалидным и выбрасывает на страницу логина.
Если у вас есть или планируется работа через WiFi - включаем HTTPS.
Дешево и сердито.
...
Рейтинг: 0 / 0
23.01.2013, 23:38
| Ответить | Цитировать | Написать  
Безопасен ли механизм Сессий PHP?
    #38123312
_Промешан_
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
_Промешан_
Гость
nscl1). Пишем в сессию IP и User_Agent пользователя.
2). Если пришел запрос с другого адреса или из другого браузера - скрипт считает запрос невалидным и выбрасывает на страницу логина.
Если у вас есть или планируется работа через WiFi - включаем HTTPS.
Дешево и сердито.Хм. Я так понял что и это бесполезно. Точнее, тогда надо будет каждый запрос сверять агента и ип?

Как это сделать? А что если у человека ИП не постоянный? А если он из подсети?
...
Рейтинг: 0 / 0
24.01.2013, 15:10
| Ответить | Цитировать | Написать  
14 сообщений из 39, страница 2 из 2
  2  все
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Безопасен ли механизм Сессий PHP?
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=23&msg=38122291&tid=1464191]:
 0ms
get settings:
 6ms
get forum list:
 12ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 163ms
get topic data:
 6ms
get forum data:
 1ms
get page messages:
 31ms
get tp. blocked users:
 1ms
others: 246ms
total:  470ms
созд. / загр.: 470ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]