Visualizzazione dei risultati da 1 a 7 su 7
  1. #1
    Utente di HTML.it L'avatar di Nix82
    Registrato dal
    Oct 2001
    residenza
    Mussolente (VI)
    Messaggi
    1,122

    piccolo chiarimento su sessioni

    Colleghi scripterati

    vorrei una piccola delucidazione sulle variabili di sessione

    quando si entra in un'area riservata per esempio un pannello di amministrazione si effettua il log-in.
    Se si utilizzano le sessioni al momento della verifica dei dati inseriti si crea una variabile di sessione $_SESSION['admin'] per esempio e la si imposta ad un valore.
    Io vorrei sapere se, il valore di tale variabile è casuale:
    true, 'fatto', 'admin' , 1

    oppure un valore ben noto e naturalmente segreto: il SID o un numero casuale random dentro un db.

    Tutto questo a scopo di sicurezza naturalmente.
    Spero di essermi espresso in maniera comprensibile

    grazie
    La cultura è il nostro passaporto per il domani. Il futuro appartiene alle persone che si preparano oggi.
    Martin Luther King

  2. #2
    La variabile di sessione non si crea motu proprio, ma la crei tu assegnando quel che ti pare a $_SESSION.


    Il silenzio è spesso la cosa migliore. Pensa ... è gratis.

  3. #3
    Utente di HTML.it L'avatar di Nix82
    Registrato dal
    Oct 2001
    residenza
    Mussolente (VI)
    Messaggi
    1,122
    Originariamente inviato da piero.mac
    La variabile di sessione non si crea motu proprio, ma la crei tu assegnando quel che ti pare a $_SESSION.

    ecco lo sapevo non mi sono spiegato molto bene.
    Con la mia frase: "si crea una variabile di sessione" intendevo che io devo creare una varibile di sessione $_SESSION['quello_che_voglio'] e fin qui tutto bene.

    Adesso la mia domanda è:
    è più sicuro dare a questa varibile un valore segreto del tipo: SID, un numero casuale random, una password

    o è completamente uguale di settare la variabile a true o 'fatto' o 'log_in_eseguito' ?

    Tutto questo a vantaggio di sicurezza o è completamente indifferente ? :master:
    La cultura è il nostro passaporto per il domani. Il futuro appartiene alle persone che si preparano oggi.
    Martin Luther King

  4. #4
    Originariamente inviato da Nix82
    ecco lo sapevo non mi sono spiegato molto bene.
    Con la mia frase: "si crea una variabile di sessione" intendevo che io devo creare una varibile di sessione $_SESSION['quello_che_voglio'] e fin qui tutto bene.

    Adesso la mia domanda è:
    è più sicuro dare a questa varibile un valore segreto del tipo: SID, un numero casuale random, una password

    o è completamente uguale di settare la variabile a true o 'fatto' o 'log_in_eseguito' ?

    Tutto questo a vantaggio di sicurezza o è completamente indifferente ? :master:
    Completamente indifferente.

    Se arrivo a leggere il $_SESSION dentro puo' esserci dal kamasutra al vangelo... il problema e' non arrivare a leggerlo. Infatti e' per questo che si usano le sessioni su db, proprio per non rischiare l'accesso al file di sessione.

    Il silenzio è spesso la cosa migliore. Pensa ... è gratis.

  5. #5
    diciamo che le sessioni su DB si possono usare *anche* per questo ... ritengo che il motivo maggiore sia comunque quello della HA che una struttura basata su DB può rendere possibile (NFS non scala per nulla e porta a problemi di locking)
    <?php echo ' Emiliano Gabrielli (aka AlberT) ',"\n",
    ' socio fondatore e membro del direttivo del GrUSP ',"\n",
    ' AlberT_at_SuperAlberT_it - www.SuperAlberT.it ',"\n",
    ' IRC: #php,#AES azzurra.com ',"\n",'ICQ: 158591185'; ?>

  6. #6
    Utente di HTML.it L'avatar di Nix82
    Registrato dal
    Oct 2001
    residenza
    Mussolente (VI)
    Messaggi
    1,122
    Originariamente inviato da piero.mac
    Completamente indifferente.
    se faccio questa domanda ho una buona motivazione.

    Ero in locale, stavo facendo 2 siti contemporaneamente.
    Ho finito entrambi. Li voglio provare.
    Entro nel sito 1 esego il log-in di amministrazione ( in entrambi i siti avevo messo $_SESSION['admin'] = true; ) e testando il sito ho visto che funzionava tutto.

    Rientro nella root directory di apache senza chiudere il browser per testare l'altro sito. Entro nel sito 2 e tacccccccc senza fare niente ero già amministratore del sito


    questo perchè avevo lo stesso SID e stesso cookie del sito precedente in cui avevo impostato la variabile di sessione.
    Naturalmente questo solo perchè localhost ha un solo cookie per tutti i siti.

    Insomma ho paura che mi succeda una cosa del genere anche in remoto in una qualche maniera non molto definita. Ecco tutto
    La cultura è il nostro passaporto per il domani. Il futuro appartiene alle persone che si preparano oggi.
    Martin Luther King

  7. #7
    Va be' ma mettere = true e' il massimo dei minimi. Se chiami uno giuseppe e l'altro francesco e controlli che siano proprio cecco e beppe .... non ti succederebbe....

    Il silenzio è spesso la cosa migliore. Pensa ... è gratis.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.