 Ouwe rakker |
|
Een sessie wordt standaard niet aan een ip gekoppeld. Wat XeriuM bedoelt is iets wat ik zelf ook altijd toepas. Ik sla namelijk altijd ook het ip adres van de gebruiker op in de sessie. Wanneer men dan namelijk de session hijacked controleert mijn script of het ip overeenkomst. Wanneer dat niet het geval is dan wordt gewoon de gebruiker uitgelogd.
Dat ziet er bij mij dan als volgt uit:
if (isset($_SESSION['administrator']['username'], $_SESSION['administrator']['password'], $_SESSION['administrator']['ipaddress'])) {
$ipcheckResult = ($_SESSION['administrator']['ipaddress'] == $_SERVER['REMOTE_ADDR']);
$loginResult = $administrator->login($_SESSION['administrator']['username'], $_SESSION['administrator']['password']);
if (!$ipcheckResult || !$loginResult) {
unset($_SESSION['administrator']);
}
}
if (isset($_SESSION['administrator']['username'], $_SESSION['administrator']['password'], $_SESSION['administrator']['ipaddress'])) { $ipcheckResult = ($_SESSION['administrator']['ipaddress'] == $_SERVER['REMOTE_ADDR']); $loginResult = $administrator->login($_SESSION['administrator']['username'], $_SESSION['administrator']['password']); if (!$ipcheckResult || !$loginResult) { unset($_SESSION['administrator']); } }
|
Wat is jouw favoriete javascript framework? (S: 18, R: 2)
Gesponsorde links
Actiefste leden van de maand
