Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Pitanje u vezi session/a

[es] :: PHP :: PHP za početnike :: Pitanje u vezi session/a

[ Pregleda: 1853 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

BLACK_SWORD

Član broj: 212173
Poruke: 171
93.157.198.*

Sajt: www.artwebdizajn.com


+3 Profil

icon Pitanje u vezi session/a17.06.2011. u 20:16 - pre 155 meseci
Pozdrav!

Kad mi se korisnik uloguje na sajt u session se sprema njegov id iz mysql baze i po tim id provjeravam dali je korisnik logovan itd primjer
Code:

<?php

$sajt['domena'] = 'http://localhost/sajt/';

// Funkcija provjerava status od korisnika.
function provjerava_status_korisnika()
{
    global $sajt;

    if(isset($_SESSION['id_korisnika']))
    {
        $s = "SELECT status FROM korisnici WHERE id_korisnika = $_SESSION[id_korisnika] ";
        $u = mysql_query($s) 
            or die('Nije izvršena provjera u bazi!' 
                . mysql_greske($sajt['domena'] . 'funkcije/funkcije_korisnici.php', 
                    $s, mysql_error(), mysql_errno())); // Upisuje brešku u bazu ako se dogodi.

        if(mysql_num_rows($u) > 0)
        {
            $p = mysql_fetch_array($u);
            return $p['status'];
        }
    }
}

// Primjer.
if(provjerava_status_korisnika() == 1)
{
    echo 'Korisnik je admin!';
}

?>


// Primjer 2

if(isset($_SESSION['id_korisnika']))
{
     echo 'korisnik logovan!';
} else
{
     echo 'korisnik nije logovan!';
}


e sad mene zanima npr. kad mi se neki "haker" registruje na sajt i uloguje njegov je id npr 20, amoj 1 dali on može da promjeni kako id u session/u na 1 pa da ima pristup mom računu?

Nadam se da ste razumjeli moje pitanje.

Hvala na odgovoru!
 
Odgovor na temu

dakipro
Dalibor Jovic
Web Developer
Bergen, Norway

Moderator
Član broj: 31848
Poruke: 1792
*.dynamic.sbb.rs.

Sajt: norway.dakipro.com


+190 Profil

icon Re: Pitanje u vezi session/a17.06.2011. u 20:36 - pre 155 meseci
Sesija se cuva na serveru, tako da ne moze da sam izmeni ID, osim ako ne uspe da pristupi serveru, ali onda sigurno nece da menja ID u sesiji ako je vec na serveru.
 
Odgovor na temu

vilyu
Web Developer
Beograd, Srbija

Član broj: 1188
Poruke: 444



+2 Profil

icon Re: Pitanje u vezi session/a18.06.2011. u 20:49 - pre 155 meseci
Može da promeni ID sesije u session cookie-u koji stoji kod njega u browseru. To se zove Session hijacking.
Pera električar 0637129710, BG, preporučujem.
 
Odgovor na temu

BLACK_SWORD

Član broj: 212173
Poruke: 171
93.157.198.*

Sajt: www.artwebdizajn.com


+3 Profil

icon Re: Pitanje u vezi session/a20.06.2011. u 22:52 - pre 155 meseci
a možel da promjeni id koji spremam u session, kad se korisnik loguje u session spremam id iz mysql baze od korisnika i korisnicko ime.
 
Odgovor na temu

BLACK_SWORD

Član broj: 212173
Poruke: 171
93.157.199.*

Sajt: www.artwebdizajn.com


+3 Profil

icon Re: Pitanje u vezi session/a23.06.2011. u 22:47 - pre 155 meseci
Dali je ovo dobro da zastitim sajt od kradje sesije?

Odmah ispod pokretanja sesije da stavim ovaj kod
Code:

session_start(); // Pokreće session.

if(isset($_SESSION['HTTP_USER_AGENT']))
{
    if($_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT']))
    {
        unset($_SESSION['korisnicko_ime']);
        unset($_SESSION['id_korisnika']);

        header('Location: prijava.php');
        exit;
    }
} else
{
    $_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']);
}

 
Odgovor na temu

VladaSu

Član broj: 31634
Poruke: 1099
*.dynamic.isp.telekom.rs.



+218 Profil

icon Re: Pitanje u vezi session/a24.06.2011. u 10:26 - pre 155 meseci
Korisnik nista ne moze da menja u sesiji za razliku od kukija.
Id sesije se prenosi preko url-a ili se cuva u kukiju.
Ako ja dobijem id sesije 1 a ti imas id sesije 2 i ja u kukiju promenim da je id sesije 2 umesto 1 ti ces misliti da sam ja ti i davaces mi tvoje podatke....
[Ovu poruku je menjao VladaSu dana 14.06.2003. u 11:22 GMT+1]
 
Odgovor na temu

BLACK_SWORD

Član broj: 212173
Poruke: 171
93.157.199.*

Sajt: www.artwebdizajn.com


+3 Profil

icon Re: Pitanje u vezi session/a24.06.2011. u 12:54 - pre 155 meseci
a dali je siguran taj kod gore što sam napisao?
 
Odgovor na temu

VladaSu

Član broj: 31634
Poruke: 1099
*.dynamic.isp.telekom.rs.



+218 Profil

icon Re: Pitanje u vezi session/a24.06.2011. u 13:42 - pre 155 meseci
Sigurniji samo ako korisim drugi browser ali ja taj header mogu opet rucno da prepravim i da ti posaljem.
Recimo mogu da ti posaljem da korisim IE iako koristim Chorme i tako isprobam listu najkoristenijih browsera i nesto ce da prodje.
A vec kako sam ukraio session id tako mogu i da saznam koji je browser upitanju.
Ne mogu reci da nije sigurnije, po meni je recimo 5% sigurnije jer cim neko skonta da imas i tu proveru on ce ti poslati identican header.
[Ovu poruku je menjao VladaSu dana 14.06.2003. u 11:22 GMT+1]
 
Odgovor na temu

BLACK_SWORD

Član broj: 212173
Poruke: 171
93.157.199.*

Sajt: www.artwebdizajn.com


+3 Profil

icon Re: Pitanje u vezi session/a24.06.2011. u 20:37 - pre 155 meseci
pa kako onda da zastitim se od kradje sesije, da nemože niko ukrasti neciji session?
 
Odgovor na temu

VladaSu

Član broj: 31634
Poruke: 1099
*.dynamic.isp.telekom.rs.



+218 Profil

icon Re: Pitanje u vezi session/a27.06.2011. u 11:55 - pre 155 meseci
Koristi SSL. Nema 100% zastite. Treba se pomiriti sa tim. IP adresa je jedno od resenja ali neki provajderi u Americi razlicite delove stranica (slike, css, js, htmlm flash..) ucitavaja preko razlicitih proxy servera gde moze da se izgubi IP korisnika i onda ti i dalje ne vazi ni IP provera.
[Ovu poruku je menjao VladaSu dana 14.06.2003. u 11:22 GMT+1]
 
Odgovor na temu

[es] :: PHP :: PHP za početnike :: Pitanje u vezi session/a

[ Pregleda: 1853 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.