رتبه موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
استفاده بیش از حد session ها
#16
ببخشین من بیش از حد این تاپیک رو طولانی کردم.
مطالبی زیادی در مورد حمله های session خوندم.
به یکی دو تا راه حل رسیدم.
تو یکی از راه حل ها گفته بوود که:
علاوه بر اینکه یک آیدی به عنوان شناسه برای کاربر در نظر میگیری، یکی آی دی هم برای آی پی کاربر و نام مرورگر و سیستم عامل کاربر در نظر بگیر.(یعنی مشخصات یوزر رو هم در یک شناسه دیگر قرار بدم)
در اینصورت هیچ موقع کاربری به جای کاربر دیگه لاگین نمیکند؟
به نظرتان این درست هستش و باگ امنیتی نداره؟
و روش دیگری هم که معرفی کردن این بووود:
کاربری که وارد شد اون رو در دیتابیس ذخیره کنیم(در کل استفاده از روش دیتابیس)
در این مورد اطلاعاتی دارید؟(منظورش این بوده که شناسه کاربر رو در دیتابیس ذخیره کنیم)
خیلی ممنون
مرسی
پاسخ
تشکر شده توسط:
#17
توی تولید سشن آیدی تمامی مواردی که گفتین (IP و User Agent) دخالت دارن. برای همین هم هست که اگه IP یا مرورگر یا سیستم عامل عوض بشه، سشن کار نمیکنه و باید دوباره لاگین کنید.
پاسخ
تشکر شده توسط: olampiad
#18
تشکر فراوان از استاد عزیز بابت راهنمایی ها
سوالی که واسم پیش اومده:
کارکرد تابع زیر است
session_regenerate_id();
این تابع دقیقا چ کاری واس من انجام میده.
برداشتی که من از این تابع دارم به صورت زیر است.
// این رو در header سایتم میخوام بنویسم

session_start();
// اگر شخص در سایت وجود داشت و قبلا ثبت نام کرده بود باهاش کاری ندارم
if(isset($_SESSION['user_id'])){
// من کارکرد تابع پایینی رو نمیدونم
// اگر تابع پایینی را صدا بزنیم چ اتفاقی می افتد.
session_regenerate_id();		
}else{
// اگر در سایت وجود ندارد به صفحه ی login.php فرستاده شود.	
header('location:login.php');	
}


این تابع دقیقا چ کاری انجام میدهد؟
آیا این تابع میاد سشن رو در کوکی هر باید عوض میکند.
مرسی
پاسخ
تشکر شده توسط:
#19
این تابع، Session ID جدیدی برای کلاینت اختصاص میده و توی هدرها برای مرورگر کاربر ارسال میکنه تا کوکی خودش رو اصلاح کنه و در اولین درخواست بعدی که میاد، سشن آیدی جدید رو بفرسته. فایل سشن کاربر رو هم برای تطابق با این سشن آیدی جدید اصلاح میکنه. با این کار، Session Fixation کار نمیکنه چون توی درخواست بعدی سشن آیدی عوض شده و کوکی که نفوذگر توی اون سشن آیدی رو فیکس کرده، دیگه جوابگو نیست (اون سشن آیدی دیگه اعتبار نداره).
پاسخ
تشکر شده توسط: olampiad
#20
ضمناً برای تشکر، از دکمه مخصوص این کار استفاده کنید.
پاسخ
تشکر شده توسط: olampiad




کاربران در حال بازدید این موضوع: 2 مهمان