LinkBack URL
About LinkBacksCiao ragazzi volevo sapere se si possono leggere i valori delle sessioni, ad esempio se creo $_SESSION['sessione'] l'utente può vedere il nome della sessione?
Un'altra cosa: per sicurezza, se un utente individua il nome della sessione può entrare con qualsiasi nome accedendo da un form creato da lui dove mette solo l'username?
Grazie.
Visualizzazione risultati 1 fino 11 di 11
Discussione: [php] Si possono leggere i valori delle sessioni?
-
15-06-2011, 13.24.46 #1Guest
[php] Si possono leggere i valori delle sessioni?
-
15-06-2011, 13.29.09 #2Guest
No.
$_SESSION non è possibile leggerlo lato client, a meno che non ci sia qualche funzione che stampa dei valori della sessione in base a devi valori passati tramite $_REQUEST ($_GET o $_POST) o $_COOKIE.
Se non hai niente di simile, non devi preoccuparti.
-
15-06-2011, 13.34.18 #3Guest
Grazie, ma se un utente individua il nome della sessione può entrare con qualsiasi nome accedendo da un form creato da lui dove mette solo l'username?
Grazie ancora, ciao!
-
15-06-2011, 13.56.48 #4
Staff AV
- Data registrazione
- 24-08-2008
- Residenza
- PU / BO
- Messaggi
- 23,246
Se un utente individua il SID (molto, molto difficile), potrebbe entrare nella "sessione" di un altro utente: quello che ha quella sessione. Quindi, entra con il suo nick.
Ciao!regolamento altervista_______________ regolamento forum
-
15-06-2011, 13.58.04 #5Guest
OK allora assegno alla sessione un nome difficile e sono a posto... grazie mille!
Ultima modifica di alemoppo : 15-06-2011 alle ore 13.59.56
-
15-06-2011, 13.59.52 #6
Staff AV
- Data registrazione
- 24-08-2008
- Residenza
- PU / BO
- Messaggi
- 23,246
nono: il nome non centra. Il SID è un'altra cosa... di default, è generato automaticamente.
p.s: scusa, avevo editato il tuo messaggio
Ciao!Ultima modifica di alemoppo : 15-06-2011 alle ore 14.01.27
regolamento altervista_______________ regolamento forum
-
15-06-2011, 14.13.28 #7Guest
E' quello che ti dicemmo nell'altro post: non mettere dati sensibili, quindi questo implica anche di non mettere dati che possono far risalire alla sessione del login dell'utente e controlla sempre le SQL Injection (mysql_real_escape_string()) e le XSS (htmlspecialchars()) dato che basta una riga di codice per "rubare" il Cookie del mal capitato.
-
15-06-2011, 14.52.29 #8Guest
Scusate, non ho capito l'ultima parte del discorso.
Se ho ben capito: per accedere con un altro nome utente, un furbetto deve sapere sia il SID che il nome della SESSIONE. Quindi io assegnerei alla SESSIONE un nome difficile, cosicché non possano entrare anche sapendo il SID dell'utente.
Se ho sbagliato, ditemi cosa.
Il cookie non c'entra, infatti in quello metto ad esempio la stringa abcd criptata.
Grazie, ciao.
-
15-06-2011, 15.06.32 #9Guest
SID è una sessione (precisamente chiamata PHPSESSID) che viene settata al momento del collegamento col server.
Infatti, viene settato un cookie che serve a dire al server di mantenere la connessione e questa sessione, fino al momento in cui non si chiude la pagina col browser.
-
15-06-2011, 15.14.45 #10
Staff AV
- Data registrazione
- 24-08-2008
- Residenza
- PU / BO
- Messaggi
- 23,246
Deve sapere soltanto il SID.
Originalmente inviato da radiodelmomento
Ciao!regolamento altervista_______________ regolamento forum
-
15-06-2011, 15.16.29 #11Guest
Perfetto capito tutto, grazie mille.
Morale della favola: sapendo il nome di una sessione non si può fare niente :-)
