PHP sigurnost SESSION-a

Pozdrav svima.
Imam jedno pitanjce i molio bih sve koji imaju dosta iskustva sa PHP-om da mi pokušaju dati dobar odgovor. Naime, nakon što se korisnik uspješno prijavi na web stranicu njegov ID (ili email koji dobijem s jednostavnim SQL upitom) zapišem u $_SESSION[“korisnikID”] varijablu:

Sad me zanima mogu li se mijenjati vrijednosti $_SESSIONA načinom sličnim mySql injectionu i da li je sigurno koristiti ovakav primjer upita prilikom čitanja podataka iz baze podataka:

PS - Nemojte se izgubiti. :wink:

Hvala! :slight_smile:

naravno da nije siguran…

i naravno da možeš zaštitit…

kako?

tako. zato što nigdje “ne čistiš” taj podatak $korisnikID. To je prvo,a drugo ti je nešto što može proguglati s bingom pod pojmom “session hijacking”. itd. itd. itd.

Čistim sve podatke od Sessiona prilikom odjave, samo što nisam tu napisao puni kod.

CC, ako imaš vremena možeš li baciti pogled na ovaj tutorijal i reći mi da li je siguran?

ma daj, meni idu nakurac svi ti hashovi, saltovi, kurci, palci. jest sigurno je, ali zasto komplicirat… kad izvlacis $korisnikID samo ga pravilno izvuci i to ti je to…


Copyright © 2020 WM Forum - AboutContact - Sponsored by: Mydataknox & Webmaster.Ninja