area admin, proprietà e sicurezza. consigli?

[piero.mac]

Originariamente inviato da IlNata
Non è così facile piero.. Non è questione di user e password.. la questione è questa. se il sistema lo basi sulle sessioni, al momento del log di un'utente memorizzi qualcosa tipo l'userid in una variabile di sessione e poi sulle altre pagine ti basi su quella variabile e basta.. ma se uno prende si logga e sostituisce nelle variabili di sessione il suo id con quello magari dell'amministratore è un problema..
Io nel mio memorizzo l'id nelle sessioni e l'ip sul database al corrispondente id.. Un po' meglio ma anche questo non è un gran chè.

Lo so ora qui stiamo andando verso la paranoia però c'è sempre questa possibilità.. Effettivamente il database sarebbe la meglio cosa ma è cmq più difficile da gestire che non utilizzare direttamente le sessioni di apache..

ciao ciao

Paranoia. Esattamente questo.
In un file di sessione si mettono le scelte effettuate, non l'identificazione dello user. Questa identificazione e' gia' stata fatta e lo usere viene identificato dal session_id(). Al limite ci metti il nick tanto per poterlo salutare per nome.

Altra paranoia.... ma chi cavolo e' sto mandrake che gira per i server a leggere l'id di sessione? Poi aprire il file modificare /leggere chissa che, poi creare un cookie di sessione sul client (ma quando mai) poi si collega al posto di chi, per fare cosa?

Se qualcuno arriva ai file e li apre/modifica/legge, secondo voi ha bisogno di connettersi al posto di cicciobello? Ma cerchiamo la realta' nelle cose. Le sessioni servono per identificare uno user tramite un id di sessione (con o senza cookie), e/o passare i dati necessari tra le diverse pagine (anche senza identificazione user).
Una sessione scaduta serve manco come ciccia ai gatti vicentini.... L'identificazione deve avvenire una volta sola e "senza" manco estrarre i dati dal db e sopratutto senza fare la "coglioneria" di metterli nel file di sessione per poi dire che le sessioni non sono sicure.


Amen.

[IlNata]

ok..

Se lo dici te mi fido.. Anche se non ritengo così sicure le sessioni..

ciao ciao

[Baoh]

Originariamente inviato da IlNata
Non penso che con il normale http tu possa essere sicuro al 100% della provenienza dei dati.. Se vuoi proprio essere sicuro allora bisognerebbe usare https con la firma digitale.. allora si che saremmo quasi sicuri..

Ovvio che sì, ma il fatto che i dati viaggino in chiaro non è un problema PHP è un problema di qualsiasi sistema di sessioni. Sta al progrmmatore decidere quando usare SSL e quando no.

Non è così facile piero.. Non è questione di user e password.. la questione è questa. se il sistema lo basi sulle sessioni, al momento del log di un'utente memorizzi qualcosa tipo l'userid in una variabile di sessione e poi sulle altre pagine ti basi su quella variabile e basta.. ma se uno prende si logga e sostituisce nelle variabili di sessione il suo id con quello magari dell'amministratore è un problema..
Io nel mio memorizzo l'id nelle sessioni e l'ip sul database al corrispondente id.. Un po' meglio ma anche questo non è un gran chè.

Di nuovo, non è un problema delle sessioni in PHP, ma di qualsiasi sistema di sessione. Al momento non si può fare a meno del protocollo HTTP

[IlNata]

Originariamente inviato da Baoh
Di nuovo, non è un problema delle sessioni in PHP, ma di qualsiasi sistema di sessione. Al momento non si può fare a meno del protocollo HTTP

E no.. Su questo non posso concordare con te.. se usi le sessioni su database ti ci voglio vedere a bucarlo e modificare i tuoi dati di sessione..
Vabbè cmq siamo giunti alla conclusione che bisogna solo sperare che non ci sia nessuno che voglia romperci le scatole sul sito.. VVoVe:

Giusto

Ciao ciao

[Baoh]

Originariamente inviato da IlNata
E no.. Su questo non posso concordare con te.. se usi le sessioni su database ti ci voglio vedere a bucarlo e modificare i tuoi dati di sessione..
Vabbè cmq siamo giunti alla conclusione che bisogna solo sperare che non ci sia nessuno che voglia romperci le scatole sul sito.. VVoVe:

Giusto

Ciao ciao

C'è qualcosa che ti impedisce di usare le sessioni su database con PHP?
Addirittura ci sono delle funzioni apposite per farlo.

La cosa conferma quello che sto sostenendo io: le possibili insicurezze delle sessioni dipendono da HTTP e non da PHP.
Trovami un altro linguaggio che prevede delle funzioni per la gestione delle sessioni su database

[IlNata]

Originariamente inviato da Baoh
Addirittura ci sono delle funzioni apposite per farlo.

Non le conosco.. Mi potresti indicare qualche riferimento? Almeno evito di dover fare una classe.. Ti ringrazio mille..

Ciao ciao

[piero.mac]

Originariamente inviato da Timopongo
Che vuol dire "senza estrarre i dati dal DB"?

Vuol dire che la query la dovresti fare con count().

SELECT COUNT(*)
FROM TABELLA
WHERE user = '$user' and pwd = '$pwd'

poi leggi il valore di count() se ha contato 1 ok. in questo modo i dati non li devi manipolare... e sopratutto, ammesso e non concesso, che una injection dovesse passare, non otterra' mai l'elenco degli utenti ma al massimo un numero.

that's all.

[carlo2002]

Originariamente inviato da StErMi
volevo incominciare a realizzare un area admin. sono un neofita ma imparo in fretta quindi non c'è problema anche se la cosa dovesse risultare alquanto difficile :P

ho gia creato dei moduli per il mio beta site ( dove faccio le prove :P ) e adesso voglio realizzare l'area admin per "allenarmi".

Qualche consiglio? nell'area admin un webmaster cosa ci dovrebbe mettere? "preferenze" per quanto riguarda i cookie? tipo metatag o altre cazzate? help ( sto parlando di un area admin che poi dovrei usare per un futuro lavoro da programmatore per creare siti di aziende.

Riguardo alla sicurezza? quali sono i migliori approcci?

scusate per la poca chiarezza ma non saprei proprio come esprimermi **

Se non ci hai già pensato, prova anche a metterci un file in cui memorizzare le varie operazioni eseguite da parte degli utilizzatori dell'area, può capitare che qualche azienda lo possa richiedere.

[Fabio Heller]

Originariamente inviato da IlNata
Non le conosco.. Mi potresti indicare qualche riferimento? Almeno evito di dover fare una classe.. Ti ringrazio mille..

Ciao ciao

Che io sappia la funzione è una

http://www.php.net/session_set_save_handler

La classe, o la liberia di funzioni, la devi comunque creare ma puoi dire a PHP di affidare ad essa tutta la gestione delle sessioni.
In giro ne trovi di già pronte per MySQL, ma è facile creare la propria per il database che si preferisce

Senza reinventare la ruota

Comunque sono d'accordo con chi dice che il sistema di sessioni in PHP potrebbero essere migliorate molto, ad esempio manca a tutt'ora un sistema decente per utilizzare la shared memory.

E' vero che la sicurezza dipende da HTTP, ma la rudimentalità delle sessioni è una cosa "tutta PHP"

[piero.mac]

Originariamente inviato da Timopongo
Scusa una cosa, ma per vedere il valore di count bisogna comunque usare mysql_num_rows() ?

No, si usa mysql_fetch_row(), oppure dai un alias al campo e usa mysql_fetch_assoc().

ma in realta' solitamente ci dovrebbe essere uno o piu' valori che identificano i privilegi del determinato user. Quindi questi dati verranno estratti in questa occasione. Quello a cui mi riferivo era espressamente user/pwd. E' inutile estrarli per farne il confronto e potrebbe essere pericoloso scriverli in un file di sessione.

La sessione una volta definita come valida deve essere identificata dal session id (SID) e basta. Altrimenti si usi il classico cookie, oppure le sessioni su db.