Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

Sessies encrypted? (Opgelost)

maigel - 20/06/2008 07:40
PHP beginner		Hoy, Mijn inlog systeempje op mijn site werkt met sessies, als je inlogt wordt $_SESSION['id'] ingesteld op de id van de gebruiker in de mysql database. Ik was nu aan het denken als er iemand een programma gebruikt om cookies aan te passen zou die zijn id kunnen veranderen en zo inloggen op iemand anders z'n account, toen ik dit probeerde zag ik dat in de cookie zoiets als dit stond Citaat: PHPSESSID=f18d2f3ed63e032d0d13bd53c386451a Dus dat lijkt erop dat die encrypted is, is dat ook zo? of is dit makelijk te decrypten

7 antwoorden

Gesponsorde links

Ontani - 20/06/2008 08:10
-1		$_SESSION's worden niet opgeslagen op de lokale client. Enkel de sessionid waarvan die client gebruik maakt. Dus als je die cookie zou kopieren naar een andere pc krijgt die gebruiker juist dezelfde instellingen als diegene waar de cookie van komt. Niet echt veilig dus.

Martijn - 20/06/2008 10:37
Crew PHP		daarbij, $_SESSION['id'] is niet hetzelfde als PHPSESSID ;)

Godlord - 20/06/2008 11:45
PHP gevorderde		Maar PHP.net: session_id wel .

maigel - 20/06/2008 12:41 (laatste wijziging 20/06/2008 12:42)
PHP beginner		DeviourSoul schreef: daarbij, $_SESSION['id'] is niet hetzelfde als PHPSESSID ;) dat weet ik wel maar ik dacht als je dit decrypt dat je mss de value van $_SESSION['id'] te weten kon komen @Ontani hoe kan ik dan wel een veiliger login scriptje maken?

Martijn - 20/06/2008 12:51
Crew PHP		iemand vult een naam en wachtwoord in, indien correct word $_SESSION['id'] de waarde van dat persoon uit de DB. Daar is verder niets onveiligs aan (behalve dat je je textfields utieraard wel moet checken op valse code etc) je PHPSESSIONID staat volledig los van de waardes die jij je session geeft

Gerard - 20/06/2008 15:20
Ouwe rakker		Citaat: @Ontani hoe kan ik dan wel een veiliger login scriptje maken? Ik sla altijd het ipadres van de 'eigenaar' van de sessie op in de sessie zelf. Elke pagina controleer ik dan of dat ipadres nog wel overeen komt. Wanneer dat niet zo is dan is iemand dus bezig met het hijacken van een sessie en destroy ik de hele sessie.

maigel - 20/06/2008 17:42
PHP beginner		Proximus schreef: [..quote..] Ik sla altijd het ipadres van de 'eigenaar' van de sessie op in de sessie zelf. Elke pagina controleer ik dan of dat ipadres nog wel overeen komt. Wanneer dat niet zo is dan is iemand dus bezig met het hijacken van een sessie en destroy ik de hele sessie. hmm simpele oplossing, dat ik daar nog niet aan gedacht had XD Bedankt!

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten