Crowly Skrevet 23. juli 2007 Del Skrevet 23. juli 2007 (endret) session-hijacking er vel mer når du tar over noen andres session Noen tips jeg plukket opp fra ett annen forum er å bruke session_regenerate_id() for å endre id'en hver gang siden lastes, det kan være greit å merke seg dette ved bruk av denne funksjonen: session_regenerate_id() Improvement. Edit: Fant dette scriptet en gang på http://phpbuilder.com/board (men finner ikke igjenn posten), skal hjelpe mot session hijacking PHP session_start(); if(version_compare('5.1.0', phpversion(), '>')) session_regenerate_id(); else { unlink(ini_get('session.save_path').'/sess_'.session_id()); session_regenerate_id(); } ?> session_save_path() kan være greit å for å lagre session informasjonen ett annet sted enn en "felles" mappe. Hvor nødvendig dette er kommer nok ann på hvordan web serveren er satt opp. Dette er hentet fra kommentarene på php.net This is an absolute must if you have an important login on a shared server. Without it, other users of the server can do the following to bypass login: * Visit login page, browse through cookies and grab the session id. * Create a PHP script on their account that grabs and sets session variables for a given session id. * Read and change any values for that session id (for example passwords or session keys), and therefore gain access to the protected area. All users on web hosting should choose an dir below the HTTP directory struct, but within their user area to store the session files. Det finnes nok en haug av artikler og forum poster rundt om, så det er vel bare å søke etter session security og session hijacking prevention så får man sikker masse nyttig treff Endret 25. juli 2007 av crowly Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå