| |
|
|
| | С точки зрения безопасности нужно ли на каждой странице сайта сверять хеш пароля и логин, сохраненные в сессии, по базе данных. Или, чтобы не перегружать базу, сохранить в сессии переменную, которая обозначала бы, что человек уже авторизовался? Спасибо. | |
| |
|
|
| |
|
|
| |
для: JuryFx
(27.05.2006 в 00:59)
| | | Я знаю систему в которой проверка происходит при каждом обращении к серверу. Это считается безопаснее (к сожалению, не могу сам понять почему). Но работает там все очень даже быстро. Все зависит от сервера и посещаемости сайта.... | |
| |
|
|
| |
|
|
| |
для: ec_stasis
(27.05.2006 в 01:03)
| | | Может подскажете, что такое подмена сесcии, мне говорили что как раз этого надо опасаться? Это возможность злоумышленника поменять переменные в текущей сесии или что-то другое? | |
| |
|
|
| |
|
|
| |
для: JuryFx
(27.05.2006 в 01:18)
| | | Подмена сессии - это возможность захватить сессию другого пользователя. Например админа. Если такое случится - злоумышленник получит админские права. Читаем статью «Безопасное программирование на PHP. Кража сессии». | |
| |
|
|
| |
|
|
| |
для: JuryFx
(27.05.2006 в 00:59)
| | | Проверять каждый раз логин и пароль в сессии смысла нет - подделать данные на сервере в файле-сессии нельзя, если крадётся SID-сессии, то файл будет содержать правильную пару логин-пароль и проверка будет завершаться удачей - так как учётная запись будет настоящей. Поэтому вариант с переменной вполне корректен. | |
| |
|
|
