|
| |
|
|
| |
для: xpom
(23.09.2006 в 16:56)
| | | На первый вопрос можно тут почитать Убрать SID сессии из URL
Межсайтовый скриптинг (XSS)
Межсайтовый скриптинг (Cross Site Scripting или XSS) - это возможность вставки ("инъекции")
HTML-кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы
ввода информации. Любое веб-приложение, которое выводит какую-либо информацию,
полученную от пользователя, может быть подвержено атакам этого класса. Возможность
успешного проведения такой атаки возникает в результате отсутствия фильтрации значений
переменных, полученных от пользователя, на наличие скриптов (JavaScript, VBScript) или
опасных HTML-тегов. Данный вид атаки может использоваться злоумышленником для
перехвата значений cookie различных пользователей (в том числе и администраторов),
пользовательских сессий, а так же в некоторых случаях позволяет обойти механизм
аутентификации или если поддерживается SSI (Server Side Include), то выполнить
произвольную команду на стороне сервера.
|
| |
| |
|
|
| |
|
|
| |
для: cheops
(23.09.2006 в 16:20)
| | | Как передавать SID через cookie? Что такое XSS-атака? | |
| |
|
|
| |
|
|
| |
для: xpom
(23.09.2006 в 14:55)
| | | Передавать SID сессиии через cookie, а не через URL и не допускать XSS-атак на сайте. | |
| |
|
|
| |
|
|
| |
для: xpom
(23.09.2006 в 14:55)
| | | Задам ещё вопрос , чуть-чуть невтакт,
<?php
$save_path="../../";
$session_name="";
$id="";
$sess_data="";
function open($save_path, $session_name)
{
global $sess_save_path, $sess_session_name;
$sess_save_path = $save_path;
$sess_session_name = $session_name;
return(true);
}
|
Что обычно вписывается и для чего служит ? | |
| |
|
|
| |
|
|
| |
для: cheops
(23.09.2006 в 12:21)
| | | Как можно защитить SID от воровства? | |
| |
|
|
| |
|
|
| |
для: xpom
(22.09.2006 в 22:06)
| | | Если SID сессии не будет украден, да безопасно. | |
| |
|
|
| |
|
|
| |
для: xpom
(22.09.2006 в 22:06)
| | | Все небезопасно в нашем мире, смотря что вы будете писать в сессию и как сверять данные | |
| |
|
|
| |
|
|
| |
для: cheops
(22.09.2006 в 20:39)
| | | Она безапасна от сенанкциониронного доступа на сайт, например если её поместить на административную (т.е. доступ под паролем) страницу в виде: session_start();
session_register('ok'); администратирование будет безопасным? | |
| |
|
|
| |
|
|
| |
для: xpom
(22.09.2006 в 16:36)
| | | Функция session_start() стартует сессию: можно помещать переменные в суперглобальный массив $_SESSION и извлекать их на других страницах, где объявлена функция session_start(). Т.е. это один из способов передачи переменных между страницами. Функция session_register() устарела, она применялась до того, как был введён массив $_SESSION. | |
| |
|
|
| |
|
|
| | Уважаемые профессионалы!
Подскажите пожалуйста, что означает в php функция session_start() и session_register()? | |
| |
|
|
|
