Sigurnost sesije

Sigurnost sesije

offline
  • susok  Male
  • Novi MyCity građanin
  • Pridružio: 03 Sep 2009
  • Poruke: 23
  • Gde živiš: BH

Pozdrav!

Kad mi se korisnik loguje na sajt u session mu se spremi id (id iz mysql baze od korisnika)
$_SESSION['id_korisnika']=$sql['id_korisnika'];

i po tim provjeravam dali je korisnik logovan dali je administrator itd.

E sad mene zanima dali korisnici mogu promjeniti podatke spremljene u session, jer kad bi promjeno npr stavio id u session 1 imo bi pristup administraciji.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Blood  Male
  • Ugledni građanin
  • Pridružio: 26 Jul 2003
  • Poruke: 384
  • Gde živiš: Beograd

To se tako ne radi.
U sesiji cuvaj username i hashovan password, a onda pri svakom reloadu stranice, kroz kod proveri da li dati username i password ima admin privilegije i da li je uopste ulogovan sa dobrim user-om i password-om. Na taj nacin, iako uspe da promeni vrednosti sesije, jedino sto moze da se desi je da se izloguje.

Generalno korisniku nikada ne treba verovati, i samim tim nikada ne treba tako bitne stvari cuvati na mestima dostupne korisniku..



Ko je trenutno na forumu
 

Ukupno su 832 korisnika na forumu :: 41 registrovanih, 5 sakrivenih i 786 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 8u47, A.R.Chafee.Jr., Andrija357, Apok, babaroga, Bane san, Bobrock1, BRATORIII, CikaKURE, Dannyboy, Denaya, FileFinder, Georgius, HogarStrashni, hologram, ILGromovnik, Joja, Kubovac, kybonacci, M1los, Mihajlo, milanovic, milenko crazy north, Mlav, mocnijogurt, Motocar, rodoljub, ruma, sap, Sirius, slonic_tonic, Srle993, Steeeefan, theNedjeljko, trajkoni018, Trpe Grozni, vathra, VJ, VP6919, zbazin, zillbg