Post Reply 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Provjera da li je korisnik prijavljen (session-si)
Author Message
r0tring Offline
Redoviti posjetitelj
**

Posts: 237
Joined: Apr 2009
Reputation: 11
Post: #1
Provjera da li je korisnik prijavljen (session-si)
Da li je ovo dovoljno za provjeru prijavljenosti sa php-om?
Da li je dovoljno zaštićeno ovo?

Code:
function prijavi_ga() {
  session_register("bla");
}

function je_prijavljen() {
  if (isset($_SESSION['HTTP_USER_AGENT']) and $_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT'])) return false;
  else $_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']);

  if (session_is_registered("bla")) return true;
  else return false;
}

Naravno prije ovoga sam startovao session, i pozvao regenerate_session_id().

Btw:
Jeli sigurno spremati hash-ovan password u SESSION?
Da li postoji ikakva mogucnost da korisnik (hacker) nekako samostalno sprocita sadrzaj sessiona? Ako postoji, kako da se zastiti?

Pozdrav.
(This post was last modified: 10-07-2011 10:38 PM by r0tring.)
10-07-2011 10:37 PM
Find all posts by this user Quote this message in a reply
danielvast Offline
Forumaš
***

Posts: 432
Joined: Dec 2009
Reputation: 22
Post: #2
RE: Provjera da li je korisnik prijavljen (session-si)
Mislim da haker nemoze mijenjati session-e jer se nalaze na serveru jedino mislim da može mijenjati sesion id jer se on spasava kako cookie na klijentovom racunalu, ovdje mozda mogao dodati salt na $_SERVER rekreiraju header podatci klijenta sto je malo vjerovatno no ipak nije nemoguće.Mislim da nije bas sigurno cuvati passworde, mozda je bolja ideja da prilikom logina generiras neki jedinstveni id koji ce jedinstveno oznacavati korisnika i spremis bazu i naravno spremis kao session i na taj nacin ga raspoznajes.

"When all else fails, read the manual."
(This post was last modified: 11-07-2011 06:22 AM by danielvast.)
11-07-2011 06:16 AM
Find all posts by this user Quote this message in a reply
oriobilly Offline
Redoviti posjetitelj
**

Posts: 288
Joined: Jan 2007
Reputation: 5
Post: #3
RE: Provjera da li je korisnik prijavljen (session-si)
(11-07-2011 06:16 AM)danielvast Wrote:  Mislim da haker nemoze mijenjati session-e jer se nalaze na serveru jedino mislim da može mijenjati sesion id jer se on spasava kako cookie na klijentovom racunalu, ovdje mozda mogao dodati salt na $_SERVER rekreiraju header podatci klijenta sto je malo vjerovatno no ipak nije nemoguće.Mislim da nije bas sigurno cuvati passworde, mozda je bolja ideja da prilikom logina generiras neki jedinstveni id koji ce jedinstveno oznacavati korisnika i spremis bazu i naravno spremis kao session i na taj nacin ga raspoznajes.
evoo pitanje za razmatranje, ne mogu se na ovaj forum regati normalno, jer je netko stavio ograničnja, ali eto vidite da svejedni pišem ovdje pa se stoga zamislite vezano za zaštitu i ostalo :))
brisane kukija, sesije li nečega sličnog nije vjerodostojno ali ako se svaki puta treba unjeti korisničko ime ili lozinka to e zaštita kojoj svi težimo. ako netko s vašeg računala napravi login - tko je tome kriv ??? vjerovatno neki administrator ali obični korisnici ne žele takvu nesigurnost, svi logini vezani su za facebook, a to i gmail je najlakše hakirati pa me zanima kakvu zaštitu stavljaju administratori foruma tutorijali.net jer evo logirao sam se iako nisam pisao postova jako dugi i vjerovatno ste sretni zbog toga :))))
Navrastim malo kasnije pa se tipkamo :)))

Divno je biti nekome nešto !!!
20-08-2011 03:17 AM
Visit this user's website Find all posts by this user Quote this message in a reply
Gogy Offline
____
*

Posts: 2,379
Joined: Feb 2006
Post: #4
RE: Provjera da li je korisnik prijavljen (session-si)
Možeš li malo bolje pojasniti o čemu je riječ? Moram priznat da te nisam baš skužio...

(20-08-2011 03:17 AM)oriobilly Wrote:  ne mogu se na ovaj forum regati normalno, jer je netko stavio ograničnja, ali eto vidite da svejedni pišem ovdje pa se stoga zamislite vezano za zaštitu i ostalo :))

Zašto bi se registrirao kad si već registriran? I o kakvim ograničenjima ti pričaš?

(20-08-2011 03:17 AM)oriobilly Wrote:  brisane kukija, sesije li nečega sličnog nije vjerodostojno ali ako se svaki puta treba unjeti korisničko ime ili lozinka to e zaštita kojoj svi težimo. ako netko s vašeg računala napravi login - tko je tome kriv ??? vjerovatno neki administrator ali obični korisnici ne žele takvu nesigurnost, svi logini vezani su za facebook, a to i gmail je najlakše hakirati pa me zanima kakvu zaštitu stavljaju administratori foruma tutorijali.net

Daj malo i ovo pojasni, jer koliko se god trudio ne mogu ti čitati misli a iz ovoga nisam shvatio apsolutno ništa.

Pravila foruma | Twitter - Facebook - Google+ |
20-08-2011 10:39 AM
Visit this user's website Find all posts by this user Quote this message in a reply
schmrz Offline
____
*

Posts: 567
Joined: Feb 2007
Post: #5
RE: Provjera da li je korisnik prijavljen (session-si)
Gogy, pogledaj u koliko je sati post napisan. Oriobilly je vjerovatno opet bio pod dozom :-]

I have no drinking problems. I drink. Get drunk. Fall down. NO PROBLEM
Registered As Linux User #484215
Moj skromni blog
Savjet za buduće programere: ovdje
21-08-2011 01:06 PM
Find all posts by this user Quote this message in a reply
Gogy Offline
____
*

Posts: 2,379
Joined: Feb 2006
Post: #6
RE: Provjera da li je korisnik prijavljen (session-si)
Malo mi je to rano za njega... :)

Pravila foruma | Twitter - Facebook - Google+ |
21-08-2011 02:43 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)