تالار گفتمان nCIS.ir   برنامه نویسی سایت   PHP v
استفاده بیش از حد session ها

رتبه موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
حالت موضوعی
استفاده بیش از حد session ها
#16
15-05-1394، 08:04 ب.ظ
olampiad آفلاین
همراه قدیمی
****
ارسال‌ها: 448
موضوع‌ها: 206
تاریخ عضویت: خرداد 1394
اعتبار: 0
تشکرها: 154
16 بار تشکر شده در 14 پست
ببخشین من بیش از حد این تاپیک رو طولانی کردم.
مطالبی زیادی در مورد حمله های session خوندم.
به یکی دو تا راه حل رسیدم.
تو یکی از راه حل ها گفته بوود که:
علاوه بر اینکه یک آیدی به عنوان شناسه برای کاربر در نظر میگیری، یکی آی دی هم برای آی پی کاربر و نام مرورگر و سیستم عامل کاربر در نظر بگیر.(یعنی مشخصات یوزر رو هم در یک شناسه دیگر قرار بدم)
در اینصورت هیچ موقع کاربری به جای کاربر دیگه لاگین نمیکند؟
به نظرتان این درست هستش و باگ امنیتی نداره؟
و روش دیگری هم که معرفی کردن این بووود:
کاربری که وارد شد اون رو در دیتابیس ذخیره کنیم(در کل استفاده از روش دیتابیس)
در این مورد اطلاعاتی دارید؟(منظورش این بوده که شناسه کاربر رو در دیتابیس ذخیره کنیم)
خیلی ممنون
مرسی
ارسال‌ها
پاسخ
تشکر شده توسط:
#17
15-05-1394، 09:23 ب.ظ
ADMIN آفلاین
مدیر کل سایت
*******
ارسال‌ها: 3,701
موضوع‌ها: 140
تاریخ عضویت: اردیبهشت 1394
اعتبار: 134
تشکرها: 195
3447 بار تشکر شده در 2120 پست
توی تولید سشن آیدی تمامی مواردی که گفتین (IP و User Agent) دخالت دارن. برای همین هم هست که اگه IP یا مرورگر یا سیستم عامل عوض بشه، سشن کار نمیکنه و باید دوباره لاگین کنید.
وب‌سایت ارسال‌ها
پاسخ
تشکر شده توسط: olampiad
#18
15-05-1394، 11:01 ب.ظ
olampiad آفلاین
همراه قدیمی
****
ارسال‌ها: 448
موضوع‌ها: 206
تاریخ عضویت: خرداد 1394
اعتبار: 0
تشکرها: 154
16 بار تشکر شده در 14 پست
تشکر فراوان از استاد عزیز بابت راهنمایی ها
سوالی که واسم پیش اومده:
کارکرد تابع زیر است
session_regenerate_id();
این تابع دقیقا چ کاری واس من انجام میده.
برداشتی که من از این تابع دارم به صورت زیر است.
// این رو در header سایتم میخوام بنویسم

session_start();
// اگر شخص در سایت وجود داشت و قبلا ثبت نام کرده بود باهاش کاری ندارم
if(isset($_SESSION['user_id'])){
// من کارکرد تابع پایینی رو نمیدونم
// اگر تابع پایینی را صدا بزنیم چ اتفاقی می افتد.
session_regenerate_id();		
}else{
// اگر در سایت وجود ندارد به صفحه ی login.php فرستاده شود.	
header('location:login.php');	
}

این تابع دقیقا چ کاری انجام میدهد؟
آیا این تابع میاد سشن رو در کوکی هر باید عوض میکند.
مرسی
ارسال‌ها
پاسخ
تشکر شده توسط:
#19
15-05-1394، 11:23 ب.ظ
ADMIN آفلاین
مدیر کل سایت
*******
ارسال‌ها: 3,701
موضوع‌ها: 140
تاریخ عضویت: اردیبهشت 1394
اعتبار: 134
تشکرها: 195
3447 بار تشکر شده در 2120 پست
این تابع، Session ID جدیدی برای کلاینت اختصاص میده و توی هدرها برای مرورگر کاربر ارسال میکنه تا کوکی خودش رو اصلاح کنه و در اولین درخواست بعدی که میاد، سشن آیدی جدید رو بفرسته. فایل سشن کاربر رو هم برای تطابق با این سشن آیدی جدید اصلاح میکنه. با این کار، Session Fixation کار نمیکنه چون توی درخواست بعدی سشن آیدی عوض شده و کوکی که نفوذگر توی اون سشن آیدی رو فیکس کرده، دیگه جوابگو نیست (اون سشن آیدی دیگه اعتبار نداره).
وب‌سایت ارسال‌ها
پاسخ
تشکر شده توسط: olampiad
#20
15-05-1394، 11:23 ب.ظ
ADMIN آفلاین
مدیر کل سایت
*******
ارسال‌ها: 3,701
موضوع‌ها: 140
تاریخ عضویت: اردیبهشت 1394
اعتبار: 134
تشکرها: 195
3447 بار تشکر شده در 2120 پست
ضمناً برای تشکر، از دکمه مخصوص این کار استفاده کنید.
وب‌سایت ارسال‌ها
پاسخ
تشکر شده توسط: olampiad




کاربران در حال بازدید این موضوع: 1 مهمان