Рефераты | Рефераты по информатике, программированию | Сессии в PHP | страница реферата 4 | Большая Энциклопедия Рефератов от А до Я
Большая Энциклопедия Рефератов от А до Я
  • Рефераты, курсовые, шпаргалки, сочинения, изложения
  • Дипломы, диссертации, решебники, рассказы, тезисы
  • Конспекты, отчеты, доклады, контрольные работы


    • Рефераты | Рефераты по информатике, программированию | Сессии в PHP


    Рефераты | Рефераты по информатике, программированию | Сессии в PHP

    Сессии в PHP




    Категория реферата: Рефераты по информатике, программированию
    Теги реферата: ответы на сканворды, решебник по математике 6
    Добавил(а) на сайт: Vlasij.



    Предыдущая страница реферата | 1  2  3  4  5 |



    Привет, , ты на секретной странице!!! :)

    Безопасность

    Итак, мы умеем передавать идентификатор от одной страницы (PHP-скрипта) к другой (до следующего вызова с нашего сайта), а значит мы можем различать всех посетителей сайта. Так как идентификатор сессии - это очень большое число (128 бит), шансов, что его удастся подобрать перебором, практически нет. Поэтому злоумышленнику остаются следующие возможности:

    на компьютере пользователя стоит , который ворует номера сессий;

    злоумышленник отлавливает трафик между компьютером пользователя и сервером. Конечно, есть защищенный (зашифрованный) протокол SSL, но им пользуются не все;

    к компьютеру нашего пользователя подошел сосед и стащил номер сессии.

    Такие ситуации, основанные на том, что кто-то что-то у кого-то стащит, в общем, не входят в компетенцию программиста. Об этом должны заботиться администраторы и сами пользователи.

    Впрочем, PHP очень часто можно . Давайте рассмотрим возможные точки взлома в программе авторизации пользователя:

    Файл authorize.php - попытка подбора пароля с помощью стороннего скрипта;

    Файл secretplace.php - попытка обмануть программу путём вписывания значений переменной $logged_user в адресной строке браузера, например так:

    http://www.yoursite.ru/secretplace.php?logged_user=hacker

    Итак, в нашей программе явно видны две , одна маленькая и не особо заметная, а вот вторая - просто огромная, через которую большинство хакеров и лезет туда, куда не надо.

    Как дыру номер 1?

    Не будем писать тонны кода по блокировке IP-адреса и т.п., а просто проверим, откуда приходит запрос, а точнее с какой страницы пришёл запрос, если это будет любая страница с нашего сайта, то всё нормально, а во всех остальных случаях пускать не будем. Подкорректируем файл authorize.php:

    - authorize.php V2 -

    Вы ввели неверный пароль!

    Как избавиться от номер 2?

    Предположим, у вас есть сайт, где каждый смертный может зарегистрироваться чтобы добавлять сообщения в форум. Естественно, в форуме у некоторых пользователей (админов, модераторов), возможностей больше чем у других, они, например, могут удалять сообщения других пользователей. Уровень доступа пользователя вы храните в сессии, в переменной $user_status, где $user_status = 10 соответствует полному доступу к системе. Пришедшему на сайт злоумышленнику достаточно зарегистрироваться штатным образом, а потом дописать в адресной строке браузера ?user_status=10. Вот и завёлся у вас на форуме новый админ!

    В принципе, любую переменную скрипта можно задать через адресную строку, просто дописав после полного адреса к скрипту вопросительный знак и название переменной с её значением. Давайте поправим наш код, чтобы этого избежать:


    Рекомендуем скачать другие рефераты по теме: конспект 5 класс, шпаргалки по физике.



    Предыдущая страница реферата | 1  2  3  4  5 |




    Поделитесь этой записью или добавьте в закладки

       

    Категории:



    Разделы сайта




    •