login  Naam:   Wachtwoord: 
Registreer je!
 Forum

sessie, veilig of niet? (Opgelost)

Offline mens - 14/03/2007 08:45
Avatar van mensOnbekend Ik heb een login-scriptje gemaakt (met behulp van de community) maar dan wil ik meerdere beveiligde pagina's aanmaken. Ik dacht dat doe ik met een sessie:

php code - Bekijk de code zonder highlighting - Klap code in 
  1. $_SESSION['ingelogd']==true;


Maar is die sessie wel veilig? Kan het dan genept worden of...?

6 antwoorden

Gesponsorde links
Offline Dark_Paul - 14/03/2007 08:48 (laatste wijziging 14/03/2007 08:49)
Avatar van Dark_Paul PHP ver gevorderde Nee, sessies kunnen in tegenstelling tot cookies niet onderschept of vervalst worden door de gebruiker.
Dat komt omdat de sessie-cookie op de server wordt gezet, en een normale cookie op de PC van de gebruiker.
Daarom zijn sessies veiliger dan cookies, en moet je die login-info binnen je website dus ook niet met cookies maken maar met sessies.
Je kan wel een cookie maken om de login te onthouden, maar daar kan je het beste gecrypte informatie inzetten.
Ik heb daar ooit een topic over gemaakt, wat je het beste in die cookie kan zetten, even zoeken.
Offline mens - 14/03/2007 08:49 (laatste wijziging 14/03/2007 08:56)
Avatar van mens Onbekend Ke, maar als de cookie op de server wordt gezet, dan kan iemand anders die bij dezelfde server zit ook zo'n sessie aanmaken en dan gewoon zo op mijn beveiligde deel heel komen?
Offline Dark_Paul - 14/03/2007 08:57
Avatar van Dark_Paul PHP ver gevorderde Nee.. Sessies gelden maar voor de map waarin die is aangemaakt, en de submappen ervan. Iemand anders op de server zit op een andere map dus kan jou sessies niet kapen.
Let wel op, als je dus een sessie op http://jehost.ex/blaat start, dan is die ook op te vragen in http://jehost.ex/blaat/bla.
Houd daar dus rekening mee..
Ik heb het topic over de cookie-login discussie gevonden:
klik
Offline mens - 14/03/2007 08:58
Avatar van mens Onbekend ke, bedankt^^
Offline JBke - 14/03/2007 09:00
Avatar van JBke PHP gevorderde Niet waar, is inderdaad zo dat een sessie wordt weggeschreven op je server maar dit werkt met session_id en een andere bezoeker op je siote kan niet zomaar een sessie van een ander overnemen. Cookies worden weggeschreven op de bezoeker zijn pc, nadeel hiervan: niet alle gebruikers hun cookies staan aan dan werkt het al niet en een gebruiker kan wel zijn cookies wijzigen. Je kan ze uiteraard gaan combineren als je dat wil.

Grtz.
Offline Dark_Paul - 14/03/2007 09:03
Avatar van Dark_Paul PHP ver gevorderde Hier is laatst een discussie over geweest. Iemand had een webpagina in zijn hoofdmap, en hij gebruikte dezelfde sessienamen in een submap, waar een andere website in stond.
Mensen die inlogde op zijn hoofdsite, waren ook gelijk ingelogd in de submap. Dit omdat hij dezelfde sessie-namen gebruikte en sessies ook in de submappen gelden.
Andersom, dus inloggen in de submap en dan ook ingelogd zijn op de hoofdsite, werkt niet.
Maar je kan inderdaad geen sessies van elkaar overnemen. Sessie-cookies staan op de server en zijn IP gebonden.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.181s