8 replies to this topic

[Gh0st]

Witam, stworzyłem własny mechanizm sesji oparty o mySQL.

 

Unikalny klucz tworzony jest poprzez algorytm sha1 przyjmujący adres IP i przeglądarke użytkownika.

Jedynem warunkiem korzystania z tego jest posiadanie bazy mySQL + w argumencie konstruktora należy podać już wcześniej utworzoną klase PDO

 

Poniżej zamieszczam kod tej klasy i pytanie, co można zmienić / dodać ?

I czy ogólnie nadaje się to do użytku na dużą ilość utworzonych sesji. Wszystko jest opisane w klasie.

 

Zamieszczam również plik example który z grubsza powie jak z tego korzystać.

 

 

Attached Files

•  Session.php   7.63KB   56 downloads
  
•  example.php   1.2KB   39 downloads
  

[sebul]

ENGINE=InnoDB

Ja zawsze myślałem, że takie rzeczy, to w "MEMORY", bo jakby nie patrzeć, dostęp jest szybszy, a sesje nie są czymś tak ważnym, że muszą one być zawsze pamiętane. Ewentualnie dać tam "MyISAM", które też jest chyba szybsze, zresztą "InnoDB" używa się raczej chociażby wtedy jeśli mamy klucze obce, a tutaj tego nie ma.

[Gh0st]

Masz racje, nie zwracałem większej uwagi na tabele, chociaż powinienem

[Gh0st]

I rónież chciabym zapytać czy używanie tych sesji będzie bezpiezne? jeśli nie to przed czym się zabezpieczyć

[DarkGL]

http://en.wikipedia....ssion_hijacking 

[Gh0st]

Jakim sposobem jeśli identyfikator sesji zapisywany jest tylko w zmiennej klasy? Do utworzenia identyfikatora używany jest Adres IP - SALT - PRZEGLĄDARKA. Jeśli dobrze ten atak rozumiem.

[MarWit]

Wystarczy ze korzystasz z radiówki/czyjegos router'a i zespoofujesz "User-Agent"-a ( którego uzyskanie jest banalne techniką Man-in-the-Middle, a nawet na niektórych forach pokazuje ) i masz dostęp

[DarkGL]

http://en.wikipedia....ddress_spoofing

[Gh0st]

Czy byłby ktoś w stanie, na jakimś prostym przykładzie opisać jak się przed tym uchronić? kto pyta nie błądzi