Avaleht
uus teema   vasta Tarkvara »  Programmeerimine »  php sessioonid märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale.  :: Teata moderaatorile teata moderaatorile
otsing:  
keevitaja
AM 10 aastat
keevitaja

liitunud: 05.11.2001
sõnum 01.06.2010 00:01:34 php sessioonid vasta tsitaadiga
avastasin sellise imeliku asja, et kui cookied on disabletud, siis saab ise anda sessiooni id-le väärtuse.

php:
  1.  
  2. <?php
  3. session_start();
  4. ?>
  5. <a href="proov.php?PHPSESSID=lollakas">mingi imelik asi</a><br>
  6. <?php
  7. echo $_SESSION['kala'];
  8. $_SESSION['kala']++;
  9. ?>


kas see mingi turvarisk pole?
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks!
Kommentaarid: 51 loe/lisa Kasutajad arvavad:  :: 1 :: 3 :: 40
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
kullar
HV kasutaja
kullar

liitunud: 26.11.2006



Autoriseeritud ID-kaardiga
sõnum 01.06.2010 08:09:07 vasta tsitaadiga
Paistab et sul ka Super Globalisid enabletud, mis lubab nii teha.
_________________
Online Perekonna Eelarve, Keerukamad veebipõhised infosüsteemid jms
Kommentaarid: 27 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 25
tagasi üles
vaata kasutaja infot saada privaatsõnum
mikk36
HV Guru
mikk36

liitunud: 21.02.2004



Online
sõnum 01.06.2010 08:40:11 vasta tsitaadiga
kullar, register_globals mõtled?
Kommentaarid: 85 loe/lisa Kasutajad arvavad:  :: 0 :: 2 :: 78
tagasi üles
vaata kasutaja infot saada privaatsõnum
keevitaja
AM 10 aastat
keevitaja

liitunud: 05.11.2001
sõnum 01.06.2010 09:43:35 vasta tsitaadiga
njah, zone käitub teisiti...
http://keevitaja.com/stuff/sessiooni_id_muutmine.php

ju see on see xampp jälle
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks!
Kommentaarid: 51 loe/lisa Kasutajad arvavad:  :: 1 :: 3 :: 40
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
mikk36
HV Guru
mikk36

liitunud: 21.02.2004



Online
sõnum 01.06.2010 10:11:29 vasta tsitaadiga
keevitaja, võta ükspäev kätte ja pane ise kokku vajalikud komponendist, apache, php, mysql jne. Saad mõistliku default confi ja oskuse ka käsitsi uuendada neid eraldi mõistlikult.
Kommentaarid: 85 loe/lisa Kasutajad arvavad:  :: 0 :: 2 :: 78
tagasi üles
vaata kasutaja infot saada privaatsõnum
keevitaja
AM 10 aastat
keevitaja

liitunud: 05.11.2001
sõnum 01.06.2010 10:21:59 vasta tsitaadiga
ah see ilge n*ss. kärab see xampp kah. käsitsi php-l tulev vist gd2 kah eraldi panna jne

ega see zone kah parem pole... faili teed nüüd ikka kuvada ei tohiks
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks!
Kommentaarid: 51 loe/lisa Kasutajad arvavad:  :: 1 :: 3 :: 40
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
kullar
HV kasutaja
kullar

liitunud: 26.11.2006



Autoriseeritud ID-kaardiga
sõnum 01.06.2010 10:26:18 vasta tsitaadiga
mikk36 kirjutas:
kullar, register_globals mõtled?


Jah. Kui globalsid lubatud, siis võib aadressi ribalt või postitades mis tahes muutujat omistada. Antud näites siis PHPSESSID

Natuke lugemist siit

Viites toodud esimese näite puhul nt kui aadressi ribale toksida www.domeen.ee/index.php?authorized=1, siis pääsed sisule ligi, mis muidu on piiratud ja seda kõike sellel juhul kui register_globals = on
_________________
Online Perekonna Eelarve, Keerukamad veebipõhised infosüsteemid jms
Kommentaarid: 27 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 25
tagasi üles
vaata kasutaja infot saada privaatsõnum
mikk36
HV Guru
mikk36

liitunud: 21.02.2004



Online
sõnum 01.06.2010 11:35:34 vasta tsitaadiga
keevitaja, gd2 on täitsa defaultis olemas ja ei ole piix.
Kommentaarid: 85 loe/lisa Kasutajad arvavad:  :: 0 :: 2 :: 78
tagasi üles
vaata kasutaja infot saada privaatsõnum
Renka
HV Guru
Renka

liitunud: 01.04.2002
sõnum 01.06.2010 18:35:33 vasta tsitaadiga
kullar, PHPSESSID ja globals nüüd küll kokku ei lähe. Vägagi erinevad teemad. PHPSESSID on siiski sessiooni ID edasiandmiseks aadressiriba kaudu. See, et seda saab vabalt muuta on täitsa savi. Samasmoodi võid sessiooni ID'd küpsises käsitsi muuta. Turvakontroll peaks toimima siiski oma skriptis.
_________________
There is no place like 127.0.0.1
Kommentaarid: 71 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 61
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
keevitaja
AM 10 aastat
keevitaja

liitunud: 05.11.2001
sõnum 01.06.2010 20:15:55 vasta tsitaadiga
aga kas see on turva risk, kui kasutaja saab ise panna mis see PHPSESSID on? kui samaaegselt kontrollitakse ka kasutaja ip aadressi? ehk siis ta võib ju endale mingi suva id panna ja sisse logida.
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks!
Kommentaarid: 51 loe/lisa Kasutajad arvavad:  :: 1 :: 3 :: 40
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
andrusny
Kreisi kasutaja
andrusny

liitunud: 20.03.2006
sõnum 01.06.2010 21:07:30 vasta tsitaadiga
Kui sa teed oma logimise, et kasutajanimi on session nimi, siis ehk tõesti on võimalus sisse logida ($_session['kasutaja']=1 on sisse logitud) kuigi lihtsalt $_session['kasutaja'] sisestamisel ei ole ta ju üks.
Aga kui sa teed nii, et $_session['sees']="kasutaja"; siis vist ei saa seda kasutajat ikka aadresribalt sisestada.
_________________
Kommentaarid: 7 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 7
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
keevitaja
AM 10 aastat
keevitaja

liitunud: 05.11.2001
sõnum 01.06.2010 21:14:01 vasta tsitaadiga
küsimus on siin ikka sessiooni hashis... session_id()
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks!
Kommentaarid: 51 loe/lisa Kasutajad arvavad:  :: 1 :: 3 :: 40
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
kullar
HV kasutaja
kullar

liitunud: 26.11.2006



Autoriseeritud ID-kaardiga
sõnum 01.06.2010 21:33:35 vasta tsitaadiga
Renka kirjutas:
kullar, PHPSESSID ja globals nüüd küll kokku ei lähe. Vägagi erinevad teemad. PHPSESSID on siiski sessiooni ID edasiandmiseks aadressiriba kaudu. See, et seda saab vabalt muuta on täitsa savi. Samasmoodi võid sessiooni ID'd küpsises käsitsi muuta. Turvakontroll peaks toimima siiski oma skriptis.


Jah tõesti, nüüd meenub midagi. Vabandust, et segadust tekitasin.
_________________
Online Perekonna Eelarve, Keerukamad veebipõhised infosüsteemid jms
Kommentaarid: 27 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 25
tagasi üles
vaata kasutaja infot saada privaatsõnum
keevitaja
AM 10 aastat
keevitaja

liitunud: 05.11.2001
sõnum 02.06.2010 20:22:26 vasta tsitaadiga
oskab keegi öelde, miks allolev script ei jäta meelde $_SESSION['kala'] väärtust kui cookid on disabletud.

zone.ee virtuaalserver cgi 5.3.1 reziimis

<?php
session_start();
$_SESSION['kala']++;
echo '<a href="proov.php?' . SID . '">kala</a>: ' . $_SESSION['kala'];
?>


klikides lingile on ka iga kord SID erineva väärtusega...
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks!
Kommentaarid: 51 loe/lisa Kasutajad arvavad:  :: 1 :: 3 :: 40
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Renka
HV Guru
Renka

liitunud: 01.04.2002
sõnum 02.06.2010 21:43:20 vasta tsitaadiga
keevitaja, tseki selle seadistuse olekut: http://ee.php.net/manual/en/session.configuration.php#ini.session.use-only-cookies
_________________
There is no place like 127.0.0.1
Kommentaarid: 71 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 61
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
keevitaja
AM 10 aastat
keevitaja

liitunud: 05.11.2001
sõnum 02.06.2010 22:27:35 vasta tsitaadiga
; session.use_only_cookies          = 1


ehk siis välja kommenteeritud? peaks panema 0 ja kommentaari eest ära võtma?

huvitav kuidas seda teha? php.ini ma muuta ei saa
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks!
Kommentaarid: 51 loe/lisa Kasutajad arvavad:  :: 1 :: 3 :: 40
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Renka
HV Guru
Renka

liitunud: 01.04.2002
sõnum 02.06.2010 22:50:07 vasta tsitaadiga
ini_set
_________________
There is no place like 127.0.0.1
Kommentaarid: 71 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 61
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
näita postitusi alates eelmisest:   
uus teema   vasta Tarkvara »  Programmeerimine »  php sessioonid
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.